Prób tłumaczeń angielskiego „resilience” jest wiele, nie o definicje jednak chodzi.
W dużym skrócie, bazując zarówno na oczekiwaniach klientów jak i na tym co piszą normy (np. ISO 22316, czy wcześniejsze ANSI, czy BS 65000) chodzi o to, żeby przetrwać. Stwierdzenie prawie banalne, do momentu, gdy COVID19, Ever Green i blokada kanału Sueskiego, blokady portów w Szanghaju czy załamanie Nowego Jedwabnego Szlaku nie powiedziało „sprawdzam”.
A „sprawdzam” podważyło wszelkie fundamenty i za nimi systemy i plany ciągłości działania, kryzysowego, innych, które były tworzone w radosnej, przewidywalnej (w miarę) rzeczywistości.
BO NIE MA (zasobów)! A jak nie ma to nie działa.
Dla jednych porażka i strata, dla innych szansa.
Ale czy dla tych pierwszych naprawdę porażka? Może czas na otwarcie się?
Tyle diagnozy, czas na to, co nazywamy resilience, a po polsku – odpornością. To zdolność do tego aby być. Dziś, jutro i pojutrze. Trwać, dostosować się i nadal funkcjonować.
Wydaje się, że to dość oczywiste, ale ta oczywistość jest początkiem programów odporności. A tak naprawdę zwiększania odporności. Ponieważ każdy ją (jako człowiek) ma i każda firma ma. Przecież każdy z nas (tak zakładam) doświadczył problemów płynnościowych, zdrowotnych, swoistych dołów, wypadków, pożarów, zgubienia dokumentów, kontroli urzędów. Zmieniliśmy nasze zawody, kierunek działania, produkty, dostosowaliśmy się.
To jest odporność, nic nowego, ale umykało przy tworzeniu ciągłości działania. Uświadomiłem sobie to po konferencji BSI w Londynie, w 2015 roku o znamiennym tytule Business Resilience & Continuity. I już wtedy zacząłem się zastanawiać, choć… nadal mi nie grało. Znów mamy robić jakiś system w organizacji? Kolejny SYSTEM bezpieczeństwa, za duże pieniądze, z masą procedur?
Po kilku wdrożeniach, w dużej mierze opartych o odporność pełną, którą nazywam też miękką zrozumiałem.
- To wiedza o własnych zasobach, rynku, możliwościach. Przekuta na pomysł.
- To umiejętność szybkiej reakcji na to, co się zmienia. Przekute na działanie.
A procedury już są. Trzeba je zinwentaryzować i zrozumieć. Globalnie i w pełni.
Trochę teorii jednak musi być. Podział, jakiego nie znajdzie się jeszcze w normach i standardach (zaproponujemy przy kolejnej rewizji ISO 22316) to:
Odporność twarda. Rozumiana jako wzmocnienie swoich systemów zarządzania bezpieczeństwem, odpowiedzi na incydent, ciągłości działania i kryzysówki. Charakterystyczne dla obiektów „usztywnionych” relacjami z klientem (twarde umowy z przeważającym klientem) czy administracją (obiekty infrastruktury krytycznej czy podlegające pod krajowy system cyberbezpieczeństwa). Ta odporność jest forsowana jako „odporność” w procedowanej dyrektywie w sprawie podmiotów krytycznych oraz nowej dyrektywnie NIS2 czyli tej, która implementowana jest Ustawą o krajowym systemie cyberbezpieczeństwa.
Odporność pełna (miękka). To jest crème de la crème. Opiszę jak to widzę, potem zdefiniuję. Krzycho przychodzi i mówi, że nasze produkty stoją, bo nie ma zbytu. Ale ma pomysł. Wpadamy z utrzymaniem ruchu na salkę i dyskutujemy. E… a co możemy jeszcze na maszynach robić? Tak bez zmian? No… x, y, p. A jak dostosujemy? No to wtedy panie… dezynfektant na COVID19 (to pierwotnie był żart). Dajesz!!! Jak to zrobić? Wpada szef produkcji, logistyk. Zapraszamy ludzi. Wpada finansowy (jednocześnie urocza księgowa) i pyta – czy was pojechało??? Nie. Po prostu przezbrojenie, dokupienie nowych części, próby… I produkt.
Zostańmy przy pełnej odporności. Czy zrobienie nowego produktu to odporność?
NIE!
Może spisanie jak go zrobiliśmy i jak doszliśmy do niego?
Też NIE (choć pomocne)!
No to czym jest odporność, jeśli mamy dwa produkty – dawny i nowy i możemy się przepinać?
Odpornością jest to, że UMIEMY WYMYŚLAĆ jak i na co się przepinać. Że działa SUR/DUR, BHP, logistyka, marketing, sprzedaż, finanse. Ze potrafią tworzyć NOWE plany szybko, skutecznie i sprawnie. W pięknych słowach nazywa się to dywersyfikacja produktu (żeby dywersyfikować się produktowo trzeba mieć możliwość tworzenia nowych produktów).
Do tego wymagane jest masę rzeczy. Tych, które są w firmach, ale może o nich nikt nie wie. A na pewno wymagają otwarcia. Umysłu i drzwi między działami. I o tym mówi między innymi standard BS 65000:2014. Łamać silosy.
Grzegorz Krzemiński, audytor bezpieczeństwa_________________________________
O odporności będziemy mówić także na spotkania społeczności Business Dialog i Klubu Dyrektorów Finansowych “Dialog” 6.09, już można się zapisać