面對危機企業如何存活
一場世紀肺炎讓企業重新審視BCP,然而,這並非新名詞,歷史上數次災難早已提醒企業風險管理的重要性。 文/吳明璋(韋萊韜悅企業風險管理與經紀服務資深協理)
近一兩年大環境的劇變讓人始料未及。去年中美貿易戰打破產業供應鏈的遊戲規則。客戶一句話產能移轉,跨國備援工廠的資訊佈署緊接著展開。正當中美貿易戰才剛告一段落,全球新冠病毒疫情就在今年初報到。
在各地疫情的肆虐下,許多企業首度啟動異地上班或在家上班模式,帳號管理、遠距存取、視訊軟體,甚至資訊安全,缺一不可。這段期間偽裝疫情消息釣魚郵件四處流竄,知名視訊軟體爆發資安疑慮,或是面板廠傳遭勒索軟體攻擊,都讓資訊部門繃緊神經。資安風險、營運持續(Business Continuity)、數位韌性(Digital Resilience)再度成為年度熱門話題。
營運持續不是新名詞
所謂的A計畫就是按照預定目標的計畫,至於當前經常聽到的產能移轉、分組辦公就是B計畫。就是當意外災害降臨時,B計畫仍可以維持下去,這就是營運持續的基本精神。 以美國為例,營運持續實務演進分為四個階段:立法推動、標準發展、後9/11事件與國際化。9/11事件加速美國在政府、金融與基礎建設的立法或指導原則下推動與執行。尤其在商業與科技產業,營運持續為組織面對災害時最小防衛之基礎。在9/11事件之前,全球大約有20個營運持續的標準。
在9/11事件之後,大約超過33個相關的標準被制定或加以擴充。正當營運持續標準逐漸蓬勃發展之際,各國標準之爭也浮現檯面。 2012年,國際標準組織ISO正式發表營運持續管理系統標準ISO-22301。簡單來說,ISO-22301與IT人熟知的ISO-27001都是屬於風險管理系統,只是ISO-27001屬於資安技術面的系統。
配合我國「資通安全管理法」施行推動,行政院資通安全處於今年一月份將ISO-22301納入資通安全專業證照清單的管理類證照之一。至於另一個常見的風險管理標準ISO-31000則為風險管理原理及指導綱要標準(Risk Management—Principles and Guidelines),內容包含:風險管理五大步驟與風險分析矩陣等。ISO-27005則更將ISO-31000應用於資安領域,成為資訊安全風險管理標準(Information Security Risk Management)。
韌性觀念從巨災後發酵
就在9/11事件後四年,「卡崔娜颶風」成為美國有史以來最嚴重的天災之一。該巨災超過一千八百人死亡,造成美金一千兩百五十億的經濟損失。到底從「卡崔娜颶風」為危機管理實務帶來什麼啟示?
高達百頁「卡崔娜颶風」檢討報告指出,美國政治領導者或行政人員在災後甚少作為:「結果造成災害計畫無法實行,溝通失靈,行政控制部門交相指責」,「卡崔娜颶風」凸顯政府缺乏重大災難後的行動準備。專家學者指出,美國在「卡崔娜颶風」之後興起韌性管理的研究。
同樣的情況也在日本發生。在經歷2001年福島地震後,東京大學破天荒發表跨科系白皮書,揭櫫跨領域、整合型韌性工程研究。2014年,日本首相安倍晉三發布「國土強韌化基本計畫」,偏重在預防基礎設施不失靈、不中斷。在展望2020計畫,歐盟也強調韌性在關鍵基礎建設之重要性。2017年,組織韌性國際標準ISO 22316正式問世,強調組織韌性力為組織面對劇變環境下緩衝與適應能力。
國際經典案例
在面對巨災與商場敵人,150年企業如何透過營運持續與韌性管理度過難關? 2000年前後,全世界為了「電腦千禧蟲」(Y2K)忙得焦頭爛額。沒有人料想到,美國當地習以為常的閃電導致半導體廠小火災,就此改變全球手機市場版圖。 當時諾基亞公司立即啟動營運持續計畫,但競爭同業沒有。
兩家公司截然不同的緊急應變態度,決定了後來企業的生死存亡。本次火災事件造成競爭同業4億美元收益損失,以及16億8千萬美元的營運損失。此事件仍餘波盪漾,十年後該公司退出全球行動電話市場。在事件落幕之後,他們承認「我們沒有B規劃」(We Did not Have a Plan B)。 儘管在2000年危機存活下來,諾基亞在12年後面臨破產的危機。
2007年,標榜高階手機的iPhone首度問世。當時諾基亞手機在全球市佔率62.5%,iPhone並沒有引起高階主管的注意。經歷公司組織變革,諾基亞從財務、營運與人才面向著手韌性管理。透過積極與同業合併強化自身創新體質,得以重返5G舞台。 另一個經典案例為國際知名鋁業Norsk Hydro。2019年,全球3萬5千台電腦、40個據點遭受病毒攻擊而全面中斷。德國分公司發現,營運持續計畫紙本檔案內含一萬六千個零件資料,作為建立備援資料庫的基礎。
從人工代替電腦作業,Norsk Hydro員工不斷嘗試各種替代方案(workarounds),這些都是靠著平日營運持續實務累積的復原力。
全球趨勢、在地行動
因應數位韌性的來臨,資訊風險移轉實務成為新顯學。2019年,Forbes與IBM發表數位韌性調查報告指出,六成(61%)受訪者相信營運持續╱復原計畫與資安保險同等重要。從資安的年度預算分配來看,根據2018年韋萊韜悅(Willis Towers Watson)與英國經濟學人(Economist Intelligence Unit)全球性調查發現,受訪企業在資安重點項目與預算分配比重分別為:防禦技術(20%)、人才培育(19%)、營運持續╱災後復原(16%)、激(獎)勵員工(16%)、教育訓練(15%)與資安保險(15%)。
為何資安保險與營運持續成為高階主管優先順序?數位營運持續計畫含環環相扣的專家資源,如:鑑識、法律、公關、信用監控、通知、IT復原等。資安保險補償範圍涵蓋這些專家資源費用與營運中斷損失,因而獲得高階主管的青睞。 面對新冠病毒帶來的經濟海嘯,組織宜思考數位轉型與數位韌性並存,得以在未來劇變環境中轉危為安、永續成長。
