Publikacja „2017 Cost of Data Breach Study” porównuje dwa scenariusze zarządzania firmą. Jeden zakłada, że firma dysponuje planem utrzymania ciągłości biznesu, drugi, że nie ma ona żadnej strategii na wypadek wystąpienia nieoczekiwanego kryzysu.  Analiza jest o tyle wiarygodna, że wykorzystuje dużą próbę badawczą – w sumie przebadano 419 przedsiębiorstw z 19 różnych gałęzi gospodarki, prowadzących działalność na sześciu kontynentach.

Długa rehabilitacja

Wyniki analizy IBM i Ponemon Institute nie pozostawiają złudzeń: inwestycja w Business Continuity Management (BCM) się opłaca. Opracowany wcześniej algorytm postępowania w przypadku awarii lub incydentu związanego z bezpieczeństwem danych sprawił, że przedsiębiorstwa pracowały o 78 dni dłużej niż te firmy, które nie wdrożyły planu utrzymania ciągłości. Te straciły właśnie ponad 2,5 miesiąca na zidentyfikowanie źródła problemów, a następnie wprowadzenie działań naprawczych.

– W sytuacji, gdy firma posiada plan Disaster Recovery, którego elementem może być choćby natychmiastowa "przeprowadzka" do biura zapasowego, ryzyko utraty cennych godzin stabilnego funkcjonowania przedsiębiorstwa znacznie maleje, gdyż odpowiedzialność za wznowienie działania wszystkich operacji biznesowych firmy leży po stronie dostawcy takiego rozwiązania. Zwykle na przywrócenie sprawności operacyjnej wystarczą 4 godziny. Tyle czasu potrzeba na przeniesienie się kluczowych zespołów pracowników do zastępczej przestrzeni biurowej wyposażonej w infrastrukturę ICT, która zapewnia dostęp do niezbędnych systemów i danych przedsiębiorstwa – tłumaczy Ewelina Hryszkiewicz z Atmana, lidera polskiego rynku data center.

Internet gospodarczym fundamentem

Analitycy Ponemon Institute wyliczyli także finansowe konsekwencje kradzieży danych. Średni koszt utraty jednego rekordu z cyfrowej bazy przedsiębiorstwa nieposiadającego planu BCM wyniósł 152 dolarów. W przypadku firmy zarządzającej ciągłością swojego biznesu było to 130 dolarów. To teoretycznie niewielka różnica, znacznie lepiej ją widać, gdy spojrzymy na skumulowane koszty wszystkich okresów niedostępności w badanym okresie. Przedsiębiorstwa, które nie przygotowały planu postępowania na wypadek awarii, musiały liczyć się ze stratą na poziomie niemal 4 milionów dolarów, a te uwzględniające politykę BCM utraciły 3,35 mln z powodu włamań do swojej infrastruktury.  Wniosek? Żadna firma nie może się czuć w dobie rosnącej cyberprzestępczości bezpiecznie, jednak ta, która ma plan BCM, notuje straty niższe średnio o blisko 600 000 dolarów.

Nie sposób także pominąć kosztów generowanych przez niespodziewane i niepożądane przestoje. – Warto wspomnieć o kosztach, z jakimi wiążą się awarie spowodowane nagłą utratą dostępu do Internetu czy energii elektrycznej. Po ich uwzględnieniu straty byłyby z pewnością dużo wyższe. Z badania przeprowadzonego przez nas przed dwoma laty wynika, że tego typu problemów doświadczyła ponad połowa polskich firm. Instytut Brookings zwraca z kolei uwagę, że każdego roku przerwy w łączności internetowej powodują straty na poziomie prawie 2,5 miliarda dolarów – dodaje Ewelina Hryszkiewicz z Atmana.

W ostatnim czasie Somalia doświadczyła poważnego kryzysu ekonomicznego spowodowanego utratą dostępu do Internetu. Przecięcie kabli biegnących dniem morza kosztowało kraj – według rządowych szacunków – 10 milionów dolarów każdego dnia. Przestój trwał aż trzy tygodnie, więc straty ogółem  można szacować na ok. 210 mln dolarów.

Disaster Recovery zmniejsza ryzyko

Eksperci Ponemon Institute zwracają ponadto uwagę, że przedsiębiorstwa posiadające plan postępowania w przypadku awarii minimalizują ryzyko cyberzagrożeń. W perspektywie dwóch najbliższych lat wynosi ono dla nich 23,9%, podczas gdy dla firm niezarządzających ciągłością biznesu niemal 32%. Co ciekawe, aż 95% firm badanych firm przyznało, że łączenie funkcji BCM i bezpieczeństwa IT miało kluczowe znaczenie dla znacznego złagodzenia skutków incydentów polegających na niepowołanym dostępie do cyfrowych informacji.