Scenariusze publikowane na łamach Pulsu Biznesu przedstawiały realne sytuacje kryzysowe, które mogą wpłynąć na działalność firm wraz z praktycznymi zaleceniami jak się zabezpieczyć i przygotować się na nadchodzące wyzwania. Dziś prezentujemy wybrane rekomendacje, które stanowią swoisty przewodnik po obszarach kluczowych dla budowania odporności firm w niepewnym otoczeniu.
1. Łańcuchy dostaw:
Stabilność łańcucha dostaw: Małe i średnie przedsiębiorstwa muszą odejść od polegania na jednym źródle dostaw i zdecydowanie budować strategiczne zapasy – zwłaszcza dla kluczowych, trudno dostępnych komponentów. Audyt łańcucha dostaw to element wyjściowy do tworzenia odporności.
Współpraca z krajowymi dostawcami powinna obejmować dążenie do wspólnego magazynowania krytycznych elementów, co z jednej strony optymalizuje koszty, a z drugiej tworzy pulę awaryjną na wypadek globalnych zakłóceń. W kontekście ryzyka ujednolicania technicznego przez państwowe podmioty, przedsiębiorcy specjalizujący się w niszowych rozwiązaniach powinny równolegle inwestować w zdolność do obsługi nowych, zunifikowanych systemów.
Dywersyfikacja w ramach realiów rynkowych: Realna dywersyfikacja dla MŚP to nie otwarte hasła, ale rozwiązania prowadzące do rozproszenia ryzyku. Mogą to być działania rozdzielające portfel zamówień pomiędzy różne marki i fabryki tak, aby nie być zależnym od jednego producenta, lub systematyczne poszukiwanie dostawców krajowych, albo unijnych. Niezależnie od wzrostu ceny jednostkowej w zamian za krótszy czas reakcji. Najważniejsze jest jednak konsekwentne zapobieganie sytuacji, w której całość kluczowego strumienia dostaw opiera się na jednym importerze.
Third Party Risk Assessment (TPRA): Planując lub rewidując swój łańcuch dostaw, przedsiębiorcy powinni wprowadzić formalne procedury i metody zarządzania ryzykiem związanym z partnerstwem z podmiotami trzecimi. Dzięki wdrożeniu TPRA zakładające m.in. mapowanie i identyfikację dostawców i zależności, analizę procesów krytycznych, monitorowanie i ocenę ryzyka, firmy mogą podjąć odpowiednie kroki, aby zabezpieczyć się przed zagrożeniami, a także szybko reagować w sytuacjach kryzysowych.
2. Zachowanie operacyjności:
Plany ciągłości działania (ang. Business Continuity Plans): Powinny obejmować nie tylko cyberbezpieczeństwo, awarie czy ataki fizyczne, ale także ataki hybrydowe. Oprócz podstawowych informacji, takich jak lista kluczowych projektów i elementów niezbędnych do ich zakończenia, lista dostawców (podstawowych i alternatywnych), czy opis procedur postępowania w sytuacjach kryzysowych, rekomendowane jest, aby zawierały one klauzulę „Strategicznej Gotowości”. Ponadto, firmy powinny regularnie testować i rewidować plan ciągłości działania, a także weryfikować dane w niezależnych ośrodkach, nawet jeśli nie są elementem infrastruktury krytycznej.
Zapas strategiczny: Brak rezerw krytycznych czyni przedsiębiorstwo niezwykle podatnym na zakłócenia. Budowa takich zapasów nie może ograniczać się wyłącznie do minimum operacyjnego. Budowanie buforu magazynowego powinno umożliwić utrzymanie strategicznych zapasów surowców krytycznych na okres od 2 do 4 tygodni oraz posiadać zapas gotowych produktów. Ponadto, zapas strategiczny powinien zostać poszerzony o alternatywne źródła energii lub systemy awaryjnego zasilania tak, aby utrzymać minimalną operacyjność w okresach przerw w dostawach prądu lub ciepła.
3. Odpowiednie kadry:
Opracowanie procedur dotyczących utrzymania warunków pracy w sytuacjach kryzysowych: Plan ewentualnościowy powinien obejmować scenariusz braku dostaw prądu lub ciepła, przygotowanie alternatywnych przestrzeni roboczych lub możliwości przejścia na pracę zdalną, jeżeli będzie to konieczne dla zapewnienia bezpieczeństwa pracowników.
Ograniczenie ryzyka luk kadrowych: Problem mobilizacji i powołań personelu powinien być analizowany w poszczególnych sektorach. Plany ciągłości działania muszą uwzględniać scenariusz drastycznych braków kadrowych i wynikającą z nich zmianę charakteru świadczonych usług. Kluczowe stanowiska (kierownicze, techniczne, logistyczne) muszą mieć przygotowanych zastępców. Firmy powinny proaktywnie szkolić i podnosić kompetencje pracowników, w szczególności kobiet, na stanowiskach, które tradycyjnie zajmowali mężczyźni z kluczowych grup wiekowych (25-45 lat). W przypadku MŚP, zamiast dążyć do kosztownego dublowania kluczowych stanowisk, należy budować odporność organizacji poprzez wdrożenie szkoleń krzyżowych (cross-training) oraz dokładną standaryzację i dokumentację procedur, aby uniezależnić kluczowe procesy od pojedynczych, niezastępowalnych osób.
4. Cyberbezpieczeństwo:
Wybór odpowiedniego modelu cyberbezpieczeństwa: Na poziomie indywidualnego przedsiębiorstwa należy stwierdzić, które elementy zabezpieczenia przed cyberatakami jesteśmy w stanie wdrożyć sami, a które części musimy powierzyć partnerowi bądź podwykonawcy. Krok ten wymaga dogłębnej i efektywnej weryfikacji łańcucha dostaw przedsiębiorstwa, także pod kątem zagrożeń wewnętrznych.
Współpraca z renomowanymi dostawcami: Duże centra danych inwestują w technologie z reguły niedostępne dla małych i średnich przedsiębiorców. Firmy MŚP powinny inwestować w zaawansowane systemy firewall, stały monitoring sieci 24/7, systemy ochrony przed atakami DDoS, a także fizyczne zabezpieczenia serwerowni. Rekomendowana jest współpraca z renomowani dostawcami, którzy zatrudniają także zespoły najlepszych specjalistów od cyberbezpieczeństwa, którzy nieustannie analizują nowe zagrożenia i aktualizują systemy obronne.
Wdrożenie prostych, ale skutecznych rozwiązań na poziomie firmy: Istnieje wiele łatwych do wdrożenia rozwiązań, które znacząco podnoszą poziom bezpieczeństwa nawet bez specjalistycznej wiedzy. Automatyczne kopie zapasowe, które pozwalają na przywrócenie systemów do stanu sprzed ataku ransomware, zabezpieczona poczta firmowa z wbudowanymi filtrami antyspamowymi i antyphishingowymi, czy uwierzytelnianie dwuskładnikowe (MFA) utrudniająca przejęcie konta to rozwiązania dostępne dla każdego przedsiębiorcy.
5. Rozwijanie partnerstwa publiczno-prywatnego:
Formalizacja współpracy z administracją: W czasie pokoju, przedsiębiorstwa powinny negocjować i podpisywać porozumienia z władzami lokalnymi o partnerstwie w czasach zagrożenia. Firmy z sektorów kluczowych, takich jak transport, logistyka, czy sektor medyczny, powinny negocjować porozumienia z wojewodami oraz organami wojskowymi o możliwym udostępnieniu infrastruktury.
Państwo powinno stworzyć formalny program współpracy, w ramach którego firmy zobowiązujące się do świadczenia określonych usług w czasie pokoju i spełniających standardy gotowości, otrzymywałyby status priorytetowy i pewien stopień ochrony przed rekwizycją w czasie kryzysu.