Egy “Üzletmenet-folytonossági keretrendszer megújítása” projekt margójára

Egy “Üzletmenet-folytonossági keretrendszer megújítása” projekt margójára

A PR-AUDIT Kft. egyik régi és kedves ügyfelénél, az anonimitás megőrzése érdekében továbbiakban csak Szervezet, volt szerencsénk még 2015-ben zöldmezős beruházás keretében, nulláról felépíteni – a jogszabályok és felügyeleti elvárások figyelembe vételével – üzletmenet-folytonosság tervezési keretrendszerüket. A keretrendszer részét képező üzleti elemzéseket utoljára 2018-ban vizsgáltuk felül, 2020-ban kizárólag egy házon belüli, „magas szintű” felülvizsgálatra került sor, elsődlegesen a kétévente kötelezően előírt felülvizsgálatból fakadó megfelelőségi okokból. Így érkeztünk el 2022. szeptemberéhez, amikor is feladatul kaptuk a keretrendszer alábbi komponenseinek felülvizsgálatát:

• Üzletmenet-folytonosság tervezési módszertan aktualizálása
• Felmérési és egyéb aktualizálási feladatok elvégzése

• • Adatvagyon leltár aktualizálása (RTO és RPO értékek meghatározása!)
  • Üzleti hatáselemzés aktualizálása, a folyamatok kiesésének hatásvizsgálata több szempontból, több idősávban
  • Függőségvizsgálat aktualizálása
  • RACI mátrix alapú felelősség összerendelési mátrix elkészítése

• Működési kockázatelemzés elvégzése

• • Üzleti folyamatok fenyegetettség vizsgálatának aktualizálása. A feladat részeként a működési kockázatot jelentő fenyegetettségek és sebezhetőségek azonosításra kerülnek, melynek alapján megtörténhet a magas kockázatok menedzselése, mitigálása.
  • Működési szempontból kritikus üzleti alkalmazások és azok maximális elviselhető kiesési idejének meghatározása.

• Üzletmenet-folytonosság tervezésbe bevonandó folyamatok és fenyegetettségek meghatározása, védelmi intézkedések és cselekvési tervek meghatározása.
• A fenti eredmények validálásának elvégzése az informatikai és az informatikai biztonsági terület illetékeseivel.
• Támogatás nyújtása az üzletmenet-folytonossági tervek tesztelésében.
• Elkészítése az üzletmenet-folytonossági összefoglaló jelentésnek.

Tekintettel arra, hogy a projekt időnként kezdett “orvosi ló” jelleget ölteni, jelen esettanulmány során célom, hogy bemutassam a projekt során felmerült akadályokat és azok megoldását. Itt tartom szükségesnek megemlíteni, hogy korábbi felmérések, így a 2022. évi projekt is a PR-AUDIT Kft. Praudit Continuity Planner (továbbiakban PCP) üzletmenet-folytonosság tervezést támogató alkalmazásának felhasználásával kerültek lefolytatása, mely jelentős mértékben megkönnyítette a továbbiakban leírt akadályok határidőre történő elhárítását.

Az alábbiakban tanulságul lássuk a projektet akadályozó lényegesebb körülményeket, azok hatásait és az alkalmazott megoldásokat.

1. Szűkös projekt határidők

Az üzletmenet-folytonosság tervezési projektek egyik leggyakoribb hibája, hogy lefolytatásukra irreálisan kevés időt hagynak a szervezetek, nem számolva az alábbiakkal:

• A projekt előkészítési szakasza, így különösen a módszertani változók – BIA hatás időtávok és hatás értékskálák, törzsadatbázis feltöltése, munkakör katalógusok – meghatározása és szervezeten belüli elfogadtatása, valamint a szakmai területek üzletmenet-folytonossági felelőseinek kijelölése és „interjúra felkészítése” a vártnál több időt vehet igénybe. Tehát a kick-off megbeszélést követően nem indulhatnak be gőzerővel a szakmai területek bevonásával az interjúk, azok megkezdéséig akár 2-3 hét is eltelhet. Különösen igaz volt ez jelen projektünkre, ahol a módszertan utolsó érdemi felülvizsgálata 2018-ban történt meg, melyet követően egy jelentős szervezeti átalakulás is bekövetkezett.
• Esetlegesen felmerülő akadályok, így különösen olyan időigényes, módszertani döntések meghozatala melyek vezetői, akár menedzsment szintű döntéseket igényelhetnek, vagy szükségessé teheti több szakterület együttműködését. Jelen projektünkben több ilyen is adódott, de különösen hátráltatta a projektet a 3. pontban kifejtett adatbesorolási rend hiánya.
• A folyamatkatalógus, valamint ezzel összefüggésben a szakmai oldali felelősök szétaprózódása a lefolytatandó interjúk számosságát és azok időbeli lefutását jelentős mértékben megnövelheti. Ez jelen projektünkben szerencsére nem következett be, viszont egy még 2021-ben lefolytatott hasonló tárgyú munkánk során az adott biztosító társaság Folyamatfejlesztési Igazgatósága által felmért folyamatkatalógusból kellett dolgoznunk. A katalógus hibátlan munka volt, csak teljesen más céllal és részletezettséggel készült, mint amire egy üzletmenet-folytonosság tervezési projektben szükség lett volna. Ezt a katalógust alkalmazva a projekt közel kétszeres erőforrással volt megvalósítható.
• A projekt során előálló részeredményeket – BIA és függőségelemzés, adatvagyonleltár és osztályozás, valamint működési kockázatelemzés és cselekvési tervek – legalább három körben kell a szakterületekkel véleményeztetni, amire körönként elegánsan illik hagyni legalább 1 hetet. A vélemenyézesre szabott időszak alatt bizonyos előkészítő vagy adminisztratív feladatokat el lehet ugyan végezni, de ez egyes fázisok egymásra épülnek, így érdemben a felmérések állnak 1 hónapig. Ez jelen projektünkban sem volt máshogy.

A Szervezet szakmai kapcsolattartóinak hatékony támogatása, a vezetők elkötelezettsége és a saját erőforrásaink allokálhatósága – értsd. a projektek szerencsés együttállásnak köszönhetően a cég üzletmenet-folytonossági tanácsadóinak volt többlet erőforrása a projektre –  köszönhetően a projekt határidők most nem sérültek, de negatív hatásként meg kell említeni, hogy a végső, összesített eredménytermékek minden szakterület – informatikai igazgatóság, információbiztonság, operatív igazgatóság – érdemi véleményezésére nem állt már elegendő idő rendelkezésre.

Általános tanulságképp annyi mindenképp levonható, hogy az üzletmenet-folytonosság megújítási projekteket különösen nem éri meg az utolsó pillanatig halogatni, vagy ha azok korábbi elkezdésére – szerződés megkötésére – nincs is lehetőség, a módszertani egyeztetéseket érdemes már korábban megkezdeni. Erre alkalmas lehet a Szervezet által a külső tanácsadó cég részére kiadott szerződéskötési szándéknyilatkozat, vagy a hosszú évek alapján felépített kölcsönös bizalom a felek között.

2. Túl hosszú idő a két érdemi felülvizsgálat között

Az első bekezdésben már említettem, hogy a keretrendszer részét képező üzleti elemzéseket utoljára 2018-ban vizsgáltuk felül, 2020-ban kizárólag egy házon belüli, „magas szintű” felülvizsgálatra került sor, elsődlegesen megfelelőségi okokból. Ebből következett, hogy a projekt előkészítési szakasza, így különösen a módszertani változók – BIA hatás időtávok és hatás értékskálák, törzsadatbázis feltöltése, munkakör katalógusok – meghatározása és szervezeten belüli elfogadtatása több időt vett igénybe. Tovább nehezítette az indulást, hogy a 2020. évi üzletmenet-folytonossági projektekben részt vevő kollégák időközben „lemorzsolódtak”, kevés használható információt hagyva maguk után, mi pedig abban a projektben nem vettünk részt.

A projekt során így alapvetően a PCP rendszerben feltöltött adatokból tudtunk kiindulni, mely lényegében a 2018-as felmérések eredményeivel egyezett meg. Az alkalmazás használatának egy kevésbé evidens előnye, hogy az abban tárolt adatok sértetlensége és rendelkezésre állása könnyebben biztosítható és ellenőrizhető – az alkalmazásban 2015-ig visszamenőleg, projekt szintű bontásban rendelkezésre álltak a felmérések eredményei –  a hagyományos excel munkafüzetekhez képest. Feltételezzük, hogy a 2020-as felmérés során készült eredménytermékek – melyek a személyi változások során nem kerültek átadásra – nem kerültek a PCP rendszerbe feltöltésre, de a rendszeradatok alapján a 2018-as projekt adatai sértetlenül rendelkezésre álltak és ezekre alapozva a projekt elvégezhető volt.

3. Módszertani anomáliák, az adatosztályba sorolási rend szabályozatlansága

A projekt sajátossága, hogy az utolsó 2018-as projekttel ellentétben most scope elem volt a Szervezet adatvagyon leltárának és adatosztályozásának felülvizsgálata. Az adatvagyonelemek felmérése és osztályozása módszertanilag nem feltétlenül kell, hogy egy üzletmenet-folytonosság megújítási projekt részét képezze, de mivel a PCP alkalmazás támogatja ennek felvételét és a felülvizsgálatra tökéletes alkalom a folyamatgazdákkal, adatgazdákkal egyébként is lefolytatásra kerülő interjúk, ezért sok projektünkben támogatjuk ebben is ügyfeleinket. A Szervezetnél pedig 2023-ban esedékes az informatikai kockázatelemzés megújítása, így most éltek is ezen lehetőséggel.

A projekt előkészítő szakaszában szembesültünk viszont azzal, hogy a Szervezet aktuális adatvagyon leltára 2017-ben került felmérésre és osztályozásra. Az ekkor alkalmazott adatosztályba sorolási útmutató nem kerül 2017 óta felülvizsgálatra és új, hatályos adatbesorolási szabályokat sem találtuk egyik releváns belső szabályozóban (üzletmenet-folytonosság tervezési utasítás, IBSZ, Adatvédelmi szabályzat, stb.). A 2017-es besorolási útmutató viszont a Magyar Nemzeti Bank 8/2020. évi ajánlása az informatikai rendszer védelméről megelőzően íródott, így nem felelt meg az ajánlás azon követelményének, hogy „Az intézmény az ügyféladatot és pénzügyi ágazati titkot (ideértve az érzékeny fizetési adatot is), az ezekből – visszafejthető módon – származtatott adatokat, valamint az ezeket feldolgozó rendszereket és infrastruktúra elemeket a legszigorúbb biztonsági osztályba sorolja”. Tekintettel arra, hogy több MNB átfogó ellenőrzés során szerzett tapasztalatunk szerint ezen követelményt a hatóság minden esetben ellenőrzi és következetesen kikényszeríti, így a Szervezetnek is javasoltuk a besorolási útmutató átdolgozását. Az ezzel kapcsolatos vezetői döntést nehezítette, hogy a szervezet a korábbi adatvagyon felmérés és osztályozás alapján kizárólag egy informatikai rendszert sorolt a legmagasabb – kiemelt – biztonsági osztályba, melyen az informatikai szakterület – a plusz védelmi intézkedések költsége és kérdéses megvalósíthatósága miatt érthető módon – szeretett volna nem, vagy csak kis mértékben változtatni. Viszont az egyértelműen látható volt, hogy adatbesorolási útmutató fenti módosítása esetén az informatikai rendszerek jelentős része kiemelt biztonsági osztályba fog sorolódni. A vezetőség több egyeztetést követően végül meghozta az álláspontunk szerint egyedüli jó döntést és a felügyeleti elvárásokat figyelembe véve módosította az adatosztályba sorolási útmutatót.

Az adatbesorolási útmutató elkészültének fenti okokból bekövetkezett elhúzódása azt eredményezte, hogy az üzleti területekkel folytatott interjúk során nem történhetett meg az adatvagyon leltár felülvizsgálata, a PCP exportokat – az új besorolási útmutatóval együtt – megközelítőleg két hetes csúszással tudtuk megküldeni. A függőségvizsgálatot és az adatvagyonleltár felvételét minden esetben érdemes egy időpontban elvégezni, tekintettel arra, hogy utólag csak nehezen rendezhetők azon anomáliák, hogy valamely informatikai rendszer mint adathordozó megjelenik a folyamat működőséhez szükséges adatelem hordozójaként, de a függőségvizsgálat során meg „lemaradt”, mint a folyamatot támogató rendszer.

4. Informatikai katasztrófa tervezéshez kapcsolódó információk hiánya

Az üzletmenet-folytonosság tervezési projektek kritikus pontja, hogy a függőségvizsgálat során azonosított kritikus alkalmazások tekintetében felmérjük ezek DR felkészültségét. A működési kockázatelemzés érdemi elvégzéséhez nélkülözhetetlen annak ismerete, hogy mely rendszerek tekintetében áll rendelkezésre hatályos és alkalmazható (értsd. évente tesztelt) informatikai katasztrófa-helyreállítási terv és ezen terv biztosítja-e a BIA elemzés alapján az alkalmazásra meghatározott RTO-n belüli helyreállítást. Az informatikai katasztrófa-elhárítás tervezése és a működési kockázatelemzés lefolytatása során az alábbi alapszabályok alkalmazás javasolt:

• Minden kritikus besorolású informatikai rendszer tekintetében szükséges, hogy rendelkezésre álljon olyan hatályos és alkalmazhatósága teszttel igazolt katasztrófa-elhárítási terv (DRP), amely a rendszerre meghatározott RTO-n belül biztosítja a rendszer helyreállíthatóságát. Ha ezen követelménynek a Szervezet nem felel meg, azt kockázatként kell a működési kockázatelemzés során azonosítani.
• Minden közepesen kritikus informatikai rendszer tekintetében, mely azért kapta a besorolást mert legalább egy kritikus folyamat van közepes függésben tőle, szükség, hogy legyen a fentiekkel megegyező DRP, kivéve, ha rendelkezésre áll olyan üzletmenet-folytonossági terv, ami a rendszer BIA-ból származtatott RTO-ján túli kiesés esetén is biztosítja a folyamat működését. Az üzletmenet-folytonossági tervben  kell rögzíteni fenttarthatóságának időtávját, mely időtávon belül kell a rendszer helyreállítását elvégezni.
• Minden közepesen kritikus informatikai rendszer tekintetében, mely azért kapta a besorolást mert legalább egy közepesen kritikus alkalmazás van teljes függésben tőle, a működési kockázatelemzés során kell döntést hozni, hogy szükséges-e DRP megalkotása.

Jelen projektünk során akadályt jelentett, hogy a Szervezet nem rendelkezett a DRP tervekről egy aktuális nyilvántartással és a fenti információkat több hetes és több körös levelezés során lehetett csak összegyűjteni. Az eredmények viszont igazolták a befektetett erőforrások szükségességét, hiszen több kritikus alkalmazás tekintetében is beigazolódott, hogy a Szervezet cégcsoportja részére centralizált informatikai szolgáltatásokat nyújtó szolgáltató – az eltérő anyavállalati besorolások alapján – nem rendelkezik DRP-vel, vagy azok elkészítése folyamatban volt. Ezen esetekben feltétlenül szükséges a működési kockázat azonosítása és vagy a kritikus besorolást megalapozó üzleti felmérések újragondolása – melyre a projekt elhúzódása miatt már nem volt idő -, vagy a DRP tervek elkészítése.

Zárásul szeretném elmondani, hogy fenti akadályok ellenére, a Szervezet elkötelezett támogatásával, a projekt célkitűzései maradéktalanul teljesültek, az eredménytermékeket a magunktól is elvárt – ez egy üzletmenet-folytonosság tervezési projektben a fontosabb mérőszám, mint az ügyfél elvárásai, melyek legtöbb esetben a minimális munkaerő befektetést célozzák – szakmai minőségben leszállításra kerültek.

Reméljük, hogy a fenti problémák és megoldási lehetőségek publikálásával segítséget tudtunk nyújtani a tervezéssel küzdő szervezeteknek és szakértő kollégáknak.

Jó tervezést, felkészülést kíván a PR-AUDIT Kft. üzletmenet-folytonosság tervezési tanácsadó csapata!