Morda se naše vsebine o upravljanju tveganj komu zdijo suhoparna teorija, ki nima veliko zveze z realnostjo. Zato tokrat opisujem praktičen primer, kako smo določili poglavitna tveganja in kakšne ukrepe smo izvedli, da bi preprečili njihovo uresničitev, ki bi lahko ogrozila celo obstoj našega podjetja.
Dogajalo se je pred leti, ko sem bil zaposlen v družbi, ki se ukvarja z informacijsko tehnologijo. V okviru priprav na pridobitev certifikata ISO 27001 smo ocenjevali tudi tveganja. Česar pa se nismo lotili samo formalno, da bi zadostili zahtevam standarda, temveč povsem življenjsko.
Srce naše dejavnosti je bil strežniški prostor s pripadajočo opremo. Če bi nam karkoli uničilo strežnike, ne bi mogli opravljati večine svojih storitev. Zato smo se najprej posvetili temu vprašanju.
Za omenjeni prostor smo ugotovili dve glavni tveganji, nedovoljen dostop in nevarnost požara.
Za zaščito pred nepooblaščenim dostopom ali vlomom smo namestili protivlomna vrata in s sistemom pristopne kontrole bistveno omejili vstop. Za zaščito pred požarom pa smo, poleg merjenja temperature v prostoru, namestili sistem za avtomatsko javljanje požara, ki smo ga razširili na vse prostore. Prav tako smo uvedli shranjevanje varnostnih kopij izven podjetja ter z varnostno službo uskladili sistem obveščanja in hitrega posredovanja v primeru sprožitve alarma.
Med obravnavanimi ukrepi sta bila recimo tudi namestitev stabilnega sistema za samodejno gašenje in možnost delovanja strežnikov na rezervni lokaciji, za katera se takrat nismo odločili.
Drug pomemben dejavnik za naše poslovanje pa je bil internet, saj smo večino storitev izvajali na daljavo. In ko so na primer med gradbenimi deli neprevidno prekinili glavno optično povezavo, smo bili skoraj ves dan brez dostopa do spleta.
Poleg tega, da nismo mogli nuditi podpore uporabnikom naših informacijskih rešitev, je imelo to tudi finančne posledice. Vsaka ura, ko nismo opravljali svojih storitev, je namreč pomenila izpad prihodkov v višini od 500 do 1000 evrov.
Zato smo za povečanje zanesljivosti dostop do interneta uredili preko dveh operaterjev s fizično ločenimi omrežnimi povezavami.
To je samo nekaj ukrepov, ki smo jih izvedli na podlagi ocene tveganj.
Na podoben način smo analizirali vse procese v podjetju, od ravnanja z zaposlenimi, do prodaje, nabave, razvoja in izvedbe naročil ter jih določili za vsako področje posebej.
P.S.: Če ste jih morda spregledali, si po želji preberite tudi naslednje vsebine:
Kako obvladati informacijska tveganja?
Kako se upravljanja tveganj lotimo sistematično?
***
Stopite v kontakt z našo ekipo, če želite ustrezno identificirati vaša tveganja.
Za več informacij o upravljanju tveganj spremljajte naš LinkedIn & Twitter račun. Lahko pa se vključite tudi v debato v Linkedin skupini ERM – KORPORATIVNO UPRAVLJANJE TVEGANJ.