2. Přijměte společný jazyk odolnosti
Firmy za poslední desetiletí investovaly mnoho času do vybudování společného firemního jazyka nebo taxonomie. Dosud toho jen málokdo plně dosáhl. Většina z nich má sady taxonomií, z nichž každá byla vyvinuta pro konkrétní případ použití: jedna pro procesy periodického vyhodnocování rizika a kontroly (RCSA), jedna pro provozní riziko, jedna pro RRP, jedna pro třetí strany atd. Společnou výzvou při rozvoji celofiremní taxonomie je propojení s vlastnictvím podniků. Snahy o taxonomii jsou příliš často vnímány tak, jako by byly prováděné pro první linii, nikoli první linií; první linie na toto nahlíží jako na něco, co kontrolní skupiny musí dokončit, aby zrealizovaly svou práci, a stěžuje si na to, že je to psáno v kontrolním jazyce. Jen málo lídrů v první linii považuje takové taxonomie za nezbytné k zajištění provozní odolnosti a myslí si, že jsou napsány takovým způsobem, že první linie popíše, co dělá a jak funguje.
3. Identifikujte a řiďte závislosti a jednotlivé body selhání a koncentrace uvnitř i vně firmy
Samotné mapování vás zavede daleko. Nejde jen o pochopení toho, jak funguje proces nebo proudí data, ale též o to, že je důležité identifikovat kritická místa nebo oblasti koncentrace (např. klíčové operace nebo umístění firmy). Ty by mohly zahrnovat IT nebo procesy, které podporují jeden nebo více kritických kroků k poskytování služby, klíčovou upstream nebo downstream závislost (tj. něco před nebo po konkrétním procesu, bez čehož je služba přerušena), a dokonce i klíčoví odborníci na danou oblast.
4. Stanovte celofiremní strategii odolnosti a provozní model
Firmy si stále více uvědomují, že jejich činnosti v oblasti kontinuity a odolnosti jsou nesourodé a navzájem nesouvisející. Často podnikají nespočet aktivit v oblasti kontinuity podnikání, obnovy po katastrofách, reakce na kybernetické hrozby a řešení krizí. Často existují nesčetné krizové a pohotovostní plány napříč různými odvětvími podnikání, technologiemi, lidskými zdroji a dalšími oblastmi. Jen málo plánů je propojeno nebo aplikováno konzistentně; málo plánů má společné nebo konzistentní spouštěcí mechanismy eskalace a rozhodování; a jen málo společností řádně připravilo své vedoucí pracovníky a/nebo správní rady na skutečné krize. Výsledkem je často neefektivní, chybné nebo pomalé rozhodování v době napětí.
5. Podporujte prevenci
I když se pozornost rychle zaměřila na odezvu a zotavení, stále je potřeba se ve zvýšené míře soustředit na prevenci, aby se snížila pravděpodobnost výskytu narušení a jejich potenciální dopad. Strategie zde zahrnují:
- segmentaci kritických systémů, včetně sítí a systémů, a omezení bodů útoku a vstupu,
- posílení přístupových práv přehodnocením přístupových výhod, např. když jednotlivci mění role, včetně rolí třetích stran (zejména platforem hostovaných klienty),
- řešení zastaralosti IT za účelem snížení závislosti na redundantních systémech a ověřování toho, že zastaralost IT nevytváří zranitelnost kritických procesů,
- efektivní řízení změn s cílem snížit pravděpodobnost, že nesprávně provedená, špatně zkontrolovaná nebo chybně načasovaná změna IT nebo procesu způsobí narušení,
- implementace odolnosti prostřednictvím návrhu – versus odolnost pomocí nápravy – s cílem umožnit dodržování principů odolnosti již od počátku navrhování nových systémů nebo procesů.