Miért nem csak a teljes leállás jelent üzletmenet-folytonossági kockázatot?
Az üzletmenet-folytonosság (business continuity) azt jelenti, hogy a cég nemcsak a teljes leállást próbálja elkerülni, hanem akkor is képes működni, ha rendszerhiba, szolgáltatáskiesés, kulcsember-hiány vagy kibertámadás történik. Sokan még mindig úgy gondolkodnak róla, mint valami távoli, nagyvállalati vagy kizárólag katasztrófahelyzetekre vonatkozó témáról, pedig ez egy általános, kockázatkezelés-alapú megközelítés, amely vállalati szinten ugyanúgy kritikus a kis- és középvállalkozásoknak, nagyvállalatoknak és szabályozott működésű szervezeteknek is, ahol az IT és az üzleti folyamatok folyamatos működése alapfeltétel. Az ISO 22301 nemzetközi szabvány az üzletmenet-folytonosság megközelítését határozza meg.
A valóságban nem csak egy teljes szerverleállás vagy súlyos kibertámadás okozhat komoly működési problémát. Sokszor már az is elég, ha kiesik egy kulcsember, nem elérhető egy fontos szoftver, meghibásodik egy eszköz, vagy leáll egy külső szolgáltató. Ezek a helyzetek elsőre technikai problémának tűnhetnek, de a hatásuk üzleti oldalon jelentkezik: megakad az ügyfélkommunikáció, csúszik a számlázás, lelassul a rendeléskezelés, nem férnek hozzá a kollégák a szükséges adatokhoz, vagy megáll egy kritikus belső folyamat. A jelenlegi infrastruktúra és a hozzá kapcsolódó üzleti folyamatai bármely váratlan kiesés vagy hibák esetén is jelentős következményt okozhatnak.
Ebben a cikkben végigvesszük, hogyan lehet azonosítani a kritikus üzleti folyamatokat, feltérképezni az IT-függőségeket, kezelni a kulcsemberek kiesését, kijelölni a felelősségi köröket, valamint a tervezés és a folyamatos menedzsment segítségével kezelni a rendszeres feladatok végrehajtását, megtervezni a biztonsági mentéseket, az átmeneti működési forgatókönyveket és a kommunikációt, továbbá számolni a külső szolgáltatói függőségekkel és a kiberbiztonsági kockázatokkal. A cél nem az, hogy minden hibát megelőzzünk, hanem hogy a működés ne szakadjon meg, az üzleti hatás kezelhető maradjon, és a terv megfelelően karbantartva, rendszeresen tesztelve és így hosszú távon is hatékony maradjon.
Mit jelent valójában az üzletmenet-folytonosság?
Az üzletmenet-folytonosság nem egyenlő azzal, hogy „van mentés”. Arról szól, hogy egy vállalat előre megtervezi, mi történik akkor, ha kiesik egy ember, egy rendszer, egy hozzáférés vagy akár egy teljes működési terület.
Nem csak technikai, hanem üzleti kérdés
A jó üzletmenet-folytonossági megközelítés nem a szerverekkel kezdődik, hanem azzal a kérdéssel, hogy mi az, aminek mindenképpen működnie kell. Melyek azok az üzleti folyamatok, amelyek kiesése azonnal fennakadást, bevételkiesést, ügyfélpanaszt vagy reputációs kockázatot okoz?
Ilyen lehet például:
- az ügyfélkommunikáció,
- a számlázás,
- a rendeléskezelés,
- a gyártás,
- a webshop működése,
- a logisztika,
- a belső fájlmegosztás,
- az ügyfélszolgálat,
- a pénzügyi adminisztráció,
- vagy a jogosultságkezelés.
Ha ezek nincsenek pontosan azonosítva, akkor a helyreállítás sem lesz jól priorizálható.
A cél nem a hibamentesség, hanem a működőképesség
Nincs olyan szervezet, ahol ne fordulhatna elő kiesés, emberi hiba, szolgáltatói probléma vagy biztonsági incidens. Az üzletmenet-folytonosság célja nem az, hogy minden hiba kizárható legyen, hanem az, hogy a vállalat képes legyen kezelni ezeket a helyzeteket, és a kritikus folyamatoknál fenntartsa a minimálisan szükséges működőképességet.
Ehhez tudni kell:
- mi számít kritikus folyamatnak,
- mely rendszerek támogatják ezeket,
- milyen sorrendben kell helyreállítani a működést,
- kik a felelősök,
- és milyen ideiglenes megoldások tarthatják fenn az üzletmenetet.
Üzletmenet-folytonossági ellenőrzőlista cégvezetőknek
1. Tudják pontosan, melyek a kritikus üzleti folyamatok?
A legtöbb probléma ott kezdődik, hogy egy cégnek nincs világos képe arról, mely folyamatok számítanak valóban kritikusnak. Pedig ez az alapja minden további tervezésnek. Ezek azonosítása a pénzügyi stabilitás és a hírnév megőrzése érdekében szükséges vészhelyzeti lépések kiindulópontja.
Érdemes végiggondolni:
- Mi az, aminek mindenképp működnie kell?
- Mi okozna azonnali üzleti fennakadást, ha holnap leállna?
- Mely folyamatok érintik közvetlenül az ügyfeleket, a bevételt vagy a napi operációt?
2. Fel van térképezve, melyik folyamat milyen IT-rendszertől függ?
Amíg ez nincs átlátva, addig az IT-kiesések hatása is láthatatlan marad. Egy technikai hiba ugyanis ritkán marad az IT-n belül: üzleti folyamatokat állít meg.
Néhány tipikus összefüggés:
- ügyfélkommunikáció: e-mail, telefon, CRM,
- számlázás: számlázóprogram, internet, jogosultságok,
- belső munka: fájlszerver, Microsoft 365 vagy Google Workspace, VPN,
- rendeléskezelés: ERP, webshop, adatbázis,
- ügyfélszolgálat: ticketing rendszer, telefonközpont, tudásbázis,
- pénzügy: banki hozzáférések, könyvelési rendszer, dokumentumtár.
Ahol ezek a kapcsolatok nincsenek dokumentálva, ott egy kiesés következményeit is csak utólag lehet felismerni.
3. Mi történik, ha kiesik egy kulcsember?
Ez az egyik leggyakoribb, mégis leginkább alulértékelt üzletmenet-folytonossági kockázat. Sok szervezet működésében még mindig van olyan pont, amely egyetlen ember tudására, hozzáférésére vagy jelenlétére épül.
Érdemes végiggondolni:
- Van olyan rendszer, amit csak egy ember ismer?
- Csak egy kolléga tudja az admin hozzáféréseket?
- Csak egy ember kezeli a mentést vagy a jogosultságokat?
- Létezik naprakész dokumentáció?
- Van helyettesítés szabadság, betegség vagy felmondás esetére?
Vészhelyzetben nem elég a tudás rögzítése: a szükséges emberi erőforrások elérhetőségének biztosítása is alapfeltétel.
Amíg ezekre nincs megnyugtató válasz, addig a cég működése valójában sérülékenyebb, mint amilyennek látszik.
4. Egyértelműek a felelősségi körök vészhelyzet esetén?
Egy leállás vagy incidens során nem elég tudni, hogy „majd megoldjuk”. A gyors reagálás feltétele, hogy előre tisztázott legyen, kinek mi a dolga.
Kulcskérdések:
- Ki dönt vészhelyzetben?
- Ki kommunikál az ügyfelek felé?
- Ki értesíti a munkatársakat?
- Ki veszi fel a kapcsolatot az IT-szolgáltatóval?
- Ki fér hozzá a kritikus adminfelületekhez?
- Ki tudja elindítani a helyreállítási folyamatot?
Ha ezekre nincs egyértelmű válasz, a technikai probléma nagyon gyorsan szervezeti káosszá válhat.
5. A mentés valóban visszaállítható működést jelent?
Sok cég megnyugszik attól, hogy „van backup”. Ez azonban önmagában még nem jelent valódi biztonságot. A fontos kérdés az, hogy a mentésből ténylegesen visszaállítható-e a működés.
Érdemes ellenőrizni:
- Miről készül mentés?
- Milyen gyakran?
- Hol tárolják?
- Ki fér hozzá?
- Mikor tesztelték utoljára a visszaállítást?
- Mennyi adatvesztés fér bele?
- Mennyi idő alatt kell újra működnie a rendszernek?
Itt különösen fontos két szempont:
RTO: mennyi idő alatt kell helyreállnia a rendszernek?
Nem mindegy, hogy egy kritikus rendszer egy órán belül, egy munkanapon belül vagy csak több nap után áll helyre.
RPO: mekkora adatvesztés elfogadható?
Üzleti oldalról is meg kell határozni, hogy legfeljebb mennyi adatvesztés fér bele egy incidens vagy rendszerhiba esetén.
Ilyen helyzetekben a megfelelő biztonsági mentés és helyreállítás nem csak technikai kérdés, hanem üzleti működőképességi alapfeltétel.
6. Van ideiglenes működési forgatókönyv?
Az üzletmenet-folytonosság nem mindig azt jelenti, hogy minden azonnal visszaáll normál működésre. Sok esetben a cél az, hogy a cég ne álljon le teljesen, hanem legyen egy átmeneti működési mód.
Ilyen lehet például:
- ideiglenes e-mailes rendelésfelvétel,
- papíralapú ügyféladat-rögzítés,
- alternatív telefonos ügyfélkommunikáció,
- offline munkalapok,
- ideiglenes fájlmegosztási megoldás,
- kézi számlázási vagy jóváhagyási folyamat,
- előre meghatározott minimum működés.
Az igazán működőképes terv nem csak a teljes helyreállítást írja le, hanem az átmeneti időszakot is.
7. Van kommunikációs terv rendszerkiesés vagy incidens esetére?
Krízishelyzetben nem csak technikai válaszokra van szükség. A kommunikáció ugyanilyen fontos. Ha nincs előre meghatározva, ki mit mond, mikor és milyen csatornán, a helyzet könnyen súlyosbodhat.
Érdemes tisztázni:
- Mit kommunikálnak az ügyfelek felé?
- Ki küldi ki a tájékoztatást?
- Mi történik, ha az e-mail nem működik?
- Ki értesíti a vezetőket?
- Ki tartja a kapcsolatot a beszállítókkal?
- Mikor kell adatvédelmi, jogi vagy incidenskezelési szereplőt bevonni?
Különösen fontos ez kiberbiztonsági eseményeknél, ahol a technikai helyreállítás mellett a reputáció és a megfelelőség is érintett lehet. Ilyenkor a jól kialakított IT-biztonsági incidenskezelés segít abban, hogy a szervezet ne improvizáljon éles helyzetben.
8. Láthatók a külső szolgáltatói függések?
Sok cég nem csak a saját rendszereitől függ, hanem külső partnerektől és szolgáltatóktól is. Ezek kiesése ugyanúgy megakaszthatja a működést.
Tipikus függések lehetnek:
- internetszolgáltató,
- tárhelyszolgáltató,
- felhőszolgáltató,
- számlázóprogram,
- banki rendszer,
- ERP- vagy CRM-szállító,
- IT-szolgáltató,
- telefonközpont,
- fizetési szolgáltató,
- futárszolgálat.
Az üzletmenet-folytonosság ott kezdődik, hogy a cég pontosan tudja, kitől és mitől függ a napi működése.
9. Számolnak kiberbiztonsági forgatókönyvekkel is?
Ma már nem lehet üzletmenet-folytonosságról beszélni kiberbiztonsági szempontok nélkül. Egy ransomware-támadás, adathalász esemény vagy jogosulatlan hozzáférés ugyanolyan működési kockázat, mint egy technikai meghibásodás vagy akár egy katasztrófa.
Érdemes felkészülni többek között ezekre:
- ransomware-támadás,
- adathalász támadás,
- fiókfeltörés,
- jogosulatlan hozzáférés,
- adatvesztés,
- szerverleállás,
- felhőszolgáltatás kiesése,
- hálózati hiba,
- laptoplopás,
- hibás frissítés,
- emberi mulasztás.
A jó terv nem csak azt mondja meg, hogyan áll helyre a rendszer, hanem azt is, hogyan tud a szervezet közben tovább működni.
10. A terv naprakész, tesztelt és ismert a szervezeten belül?
Az üzletmenet-folytonossági terv csak akkor ér valamit, ha valóban használható. Ha egyszer elkészül, aztán senki nem frissíti, nem teszteli és nem ismeri, akkor éles helyzetben nem fog működni.
Érdemes feltenni a kérdést:
- Mikor tesztelték utoljára a helyreállítást?
- Tudják a kollégák, mit kell tenni rendszerkiesés esetén?
- Frissült a terv az új rendszerek bevezetése után?
- Ki felelős a dokumentum karbantartásáért?
- Volt az elmúlt 12 hónapban próba vagy szimuláció?
Miért nem elég az ad hoc IT-működés?
A fenti kérdésekből általában gyorsan kiderül, hogy az üzletmenet-folytonosság nem csak dokumentációs kérdés. A napi működés minősége legalább ennyire fontos. Hiába készül terv, ha közben az IT továbbra is alkalmi beavatkozásokra, egyetlen kulcsember tudására vagy nehezen átlátható rendszerekre épül.
A működés biztonsága az üzemeltetésen is múlik
A valódi üzleti biztonságot nem az adja, hogy „valaki majd megoldja”, hanem az, hogy a működés mögött stabil, dokumentált és következetes informatikai háttér áll. Olyan, ahol nem egyetlen ember kezében van minden hozzáférés, nincs fejben tárolt kritikus tudás, és a reakcióidő nem attól függ, éppen ki elérhető.
Egy jól működő IT-környezetben nem csak rendszerek vannak, hanem olyan működési rend is, amelynek helyreállítási képessége kiszámítható. Dokumentáció, felelősségi körök, helyettesítés, monitoring, rendszeres karbantartás, kontrollált hozzáférések és kiszámítható támogatás.
Miért fontos ehhez a komplex IT üzemeltetés?
Az üzletmenet-folytonosság nem csak tervezési kérdés. Egy ponton túl azon múlik, mennyire stabil, átlátható és helyettesíthető az informatikai háttér a mindennapi működésben.
A komplex IT üzemeltetés ebben azért fontos, mert nem egyetlen ember tudására vagy elérhetőségére épít. Dokumentált működést, kiszámítható felelősségi köröket, átlátható adminisztrációt és több szakértő bevonására épülő támogatási modellt ad.
Ez üzletmenet-folytonossági szempontból azért lényeges, mert:
- csökkenti a kulcsember-kitettséget,
- javítja a helyettesíthetőséget,
- gyorsabbá teszi a reagálást,
- átláthatóbbá teszi a rendszereket és a hozzáféréseket,
- kiszámíthatóbbá teszi a helyreállítást.
Ahol az IT már több üzleti folyamatot közvetlenül támogat, ott a működési stabilitás nem ad hoc beavatkozásokon múlik, hanem azon, hogy van-e mögötte következetes üzemeltetési rend.
Miért üzleti és megfelelőségi kérdés is az üzletmenet-folytonosság?
Az üzletmenet-folytonosság nem csak működési vagy IT-szempontból fontos, hanem megfelelőségi oldalról is. A NIS2 által érintett szervezeteknél a működés folytonosságának biztosítása, a helyreállítási képesség és az incidensek utáni működőképesség fenntartása konkrét elvárásként jelenik meg.
Ez azt jelenti, hogy a business continuity, a mentések, a helyreállítási tervek, a válságkezelési működés és a kritikus szolgáltatások fenntarthatósága nem opcionális jó gyakorlat, hanem egyes szervezeteknél szabályozási kötelezettség is.
Összegzés: az IT nem állhat le, és vele együtt a cég sem
Az üzletmenet-folytonosság nem elméleti dokumentum, és nem is kizárólag nagyvállalati kérdés. Minden olyan szervezet számára aktuális, ahol az IT közvetlenül hat a napi működésre, az ügyfélkiszolgálásra, a bevételre vagy a belső folyamatokra.
A valódi kérdés nem az, hogy történhet-e kiesés, hanem az, hogy a szervezet felkészült-e rá. Tudja-e, mi számít kritikusnak, mi mitől függ, ki mit tesz vészhelyzetben, hogyan áll helyre a működés, és hogyan csökkenthető a kiesés üzleti hatása.
Ebben a megközelítésben a stabil, dokumentált és helyettesíthető IT-háttér nem pusztán technikai támogatás, hanem az üzleti működőképesség egyik alapfeltétele.
Nem biztos benne, mennyire működőképes a szervezete üzletmenet-folytonossági szempontból? Vegye fel velünk a kapcsolatot és segítünk feltérképezni a kritikus folyamatokat, az IT-függőségeket és a helyreállítási kockázatokat, hogy a működés ne egyetlen rendszeren vagy kulcsemberen múljon.




