Business Continuity

Η εμπειρία της Μάνδρας και η ανάγκη ενός νέου εργαλείου

Οι μεγάλες καταστροφές στη Δυτική Αττική με επίκεντρο την Μάνδρα, στη συγκεκριμένη χρονική περίοδο που έχω τη τιμή -αλλά και την πραγματική χαρά- να φιλοξενηθώ μετά σχεδόν από 10 ολόκληρα χρόνια στις σελίδες του περιοδικού «Security Manager» με αφορμή τη θεματική του όρου «Business Continuity», είναι σαφώς δυσάρεστη.Απομένει να διαπιστωθεί το κατά πόσο θα μπορούσε να αποβεί στοιχειωδώς χρήσιμη…

Του Ισίδωρου Ριζά

M.A., M.B.A., M.Sc. – C.S.P. / C.I.A. / C.P.I. / C.FA.A.

Intelligence – Security – Risk – Loss Prevention Freelancer

scro@watcherskeepers.com

 

Έχουν περάσει μόλις λίγοι μήνες από τα γνωστά πλέον σε όλους μας θλιβερά γεγονότα στους Δήμους Μάνδρας-Ειδυλλίας, στη Δημοτική Ενότητα της Νέας Περάμου και στην Ελευσίνα.

Το κυρίαρχο δυστυχώς, υπήρξε, είναι και θα παραμείνει, η απώλεια μεγάλου αριθμού ανθρώπινων ζωών. Όχι μόνο γιατί στο «Security Management» η ανθρώπινη ζωή αποτελεί στρατηγικά τη πρώτη προτεραιότητα του, αλλά διότι, σε αυτό που συνηθίσαμε να αποκαλούμε -οροθετώντας το- «Δυτικού τύπου κοινωνία» ευτυχώς, εξακολουθεί να κοσμεί ακόμα τη κορυφή των αξιακών της αρχών. Φυσικά -και για την περίπτωση αυτή- ισχύει το ότι, αυτό που δεν αποδεικνύεται ή δεν επιβεβαιώνεται με πράξεις παραμένει μια όμορφη ιδέα – ιδεολόγημα – ευχή ή ενίοτε (δυστυχώς) ευφυολόγημα…

Συμπεράσματα από την πρόσφατη εμπειρία

Μια γρήγορη έρευνα στο διαδίκτυο για τα καταστροφικά φαινόμενα Μάνδρας (όπως γενικευμένα και με καταχωριστική νοοτροπία επικράτησε να αναφερόμαστε σε αυτά), καταλήγει σε κάποια κοινά «συμπεράσματα» εύκολα διατυπωμένα, ευκολότερα καταγγελλόμενα και ακόμα πιο εύκολα αλληλο-αποδιδόμενα:

α. «η πλημμύρα… δεν μπορεί να αποκαλείται “φυσική καταστροφή” και να παραγνωρίζονται οι ανθρωπογενείς αιτίες που επιδεινώνουν τέτοια φαινόμενα.» [1].

β. «από τα πρώτα στοιχεία που συλλέχθηκαν προκύπτει ότι το κύριο βάρος της καταστροφής εστιάζεται σε έκταση έξι έως και οκτώ τετραγωνικών χιλιομέτρων (…), ενώ σποραδικές ζημιές υπάρχουν σε όλη τη Δυτική Αττική..» [2].

γ. «…Οι τεράστιες καταστροφές αναδεικνύουν για μια ακόμα φορά την τραγική έλλειψη υποδομών και κρατικού σχεδιασμού για την προστασία από τα φυσικά φαινόμενα. Τα έργα αντιπλημμυρικής προστασίας, παρά τις δεσμεύσεις, δεν υλοποιούνται γιατί δεν αποδίδουν κέρδος…» [3].

«Σήμερα», βέβαια, όλα τα παραπάνω έχουν σταματήσει από καιρού να απασχολούν το χρόνο, το συναίσθημα και τη λογική μας, όπως συνήθως συμβαίνει στα θέματα που θεσμικά συνιστούν στη χώρα μας τον μακροοικονομικό όρο/έννοια “public good”.

Φυσικά, παρότι «εμείς» λόγω της (από επιλογή των ΜΜΕ) μη περαιτέρω αφύπνισης μας για τα θέματα που προϋπήρξαν της εκδήλωσης των συμβάντων και προέκυψαν από αυτά, δεν σημαίνει ότι οι συνέπειες τους σταμάτησαν να έχουν την πραγματική τους δυναμική είτε ως αιτίες, είτε ως αφορμές, είτε ως λάθη, είτε ως επιλογές, είτε -κυρίως- ως τραγική καθημερινότητα για ανθρώπους που έφυγαν και -κυρίως- για όσους αναγκαστικά παραμένουν…

Η έννοια του Business Continuity και η αναγκαιότητα εφαρμογής του

Όπως συνήθως παρατηρείται, κάπου στο σημείο αυτό, ήλθε στην «επικαιρότητα» είτε ως έλλειψη – είτε ως ανάγκη η ύπαρξη ή χρήση αντίστοιχα της έννοια/όρου «Business Continuity».

Έννοια-όρος που μαζί με άλλες νεοφανείς σταδιακά την τελευταία 10ετία, ήλθαν να προστεθούν απότομα στις «οικείες» έννοιες/όρους “threat” – “vulnerability”- “risk” και τα υποπαράγωγα τους, με τα οποία, ακαδημαϊκοί, επιστήμονες, ερευνητές και πάνω από όλους οι επαγγελματίες του «security industry» είχαν ήδη, από 25ετίας, ξεκινήσει να χρησιμοποιούν προκειμένου να διευρύνουν το αντικείμενο αλλά και τα εργαλεία προσέγγισης της θεματικής που αυτοπροσδιορίσθηκε και κατάφερε να επικρατήσει ως «Ασφάλεια & Προστασία».

Ο όρος/έννοια «Business Continuity», αποδιδόμενος στην Ελληνική γλώσσα ως «Αδιάλειπτη Λειτουργία» ή ως «Επιχειρησιακή Συνέχεια», δεν θα μπορούσε για πολλούς, διάφορους και διαφορετικούς λόγους να μην κατέχει σημαντικότατη θέση στη σχετική προβληματική για θέματα «ασφάλειας & προστασίας» των σύγχρονων Οργανισμών.

Πράγματι, στο διεθνές επίπεδο, κατά τα τελευταία έτη η μεγαλύτερη ποσόστωση των σοβαρότατων περιστατικών αναδεικνύει με δραματικό -πλην όμως αδιάψευστο- τρόπο και στοιχεία… ότι τόσο κατά τη διάρκεια εκδήλωσής τους όσο και μετά από αυτή (στη φάση της αποτίμησης), τα μέτρα «ασφάλειας & προστασίας» δεν διέθεταν όχι μόνο επαρκή στρατηγική στόχευση, αλλά ούτε τη προβλεπόμενη από τους συντάκτες & διαχειριστές τους αποτελεσματικότητα.

Εμφατικά, στο σημείο αυτό, αξίζει να υπομνηθεί ότι αυτά τα «σοβαρά περιστατικά» συμπεριλαμβάνουν τόσο Τρομοκρατικές επιθέσεις & Βίαιες Μαζικές Εξεγέρσεις, όσο και εκείνα που οφείλονται σε Φυσικές Καταστροφές.

Αφού επαναφέρουμε στη μνήμη μας ότι τα μέτρα «ασφάλειας & προστασίας» δεν είναι τίποτα διαφορετικό από τα οργανωμένα κατά πιθανότητα, συνέπειες αντίμετρα στις απειλές – τρωτότητες & κινδύνους Οργανισμών και επιμέρους δομών τους, να επισημάνουμε ότι αποτυχία των μέτρων «ασφάλειας & προστασίας» συνίσταται όταν:

• (κάποια) δεν λειτούργησαν όπως τα ίδια προέβλεπαν,
• (κάποια) δεν διέθεταν την αλληλουχία με την οποία σχεδιάσθηκαν,
• (κάποια) δεν ήταν επαρκώς επικαιροποιημένα ως προς τη λειτουργία-έκταση-βάθος-δυναμική και επάνδρωση τους,
• (μερικά ή στο σύνολο τους) δεν διέθεταν εξαρχής κατάλληλη στρατηγική στόχευση.

Δεν πέτυχαν, δηλαδή να προσφέρουν στον πληγέντα Οργανισμό την αναμενόμενη, από μετόχους – διοίκηση – συνεργάτες – πελάτες & πάσης φύσης ενδιαφερόμενους με έννομο ή εμπορικό συμφέρον, συνέχιση λειτουργίας τους.

Ήδη, για αρκετούς τομείς ή λειτουργικές εφαρμογές τους που έμμεσα ή άμεσα εκθέτουν το προϊόν ή τις υπηρεσίες τους στα πλαίσια της « Παγκόσμιας Αγοράς», η ανάγκη για την ύπαρξη ενός Συστήματος Διαχείρισης Επιχειρησιακής τους Συνέχειας, αποτελεί θεσμική υποχρέωση (ενδεικτικά, αναφέρονται ο Χρηματοπιστωτικός Κλάδος και οι εφαρμογές Συστημάτων Πληροφορικής & Επικοινωνίας [4], [5] & [6]). Καθότι, αποτελεί την επιβεβαίωση της μετρήσιμα αποδεκτής ποιότητας υπηρεσιών τους. Ενώ, μετά την ενσωμάτωση της Οδηγίας 2008/114 του Ευρωπαϊκού Συμβουλίου της Ευρωπαϊκής Ένωσης στην εθνική νομοθεσία (Π.Δ. 39/2011), καθίσταται υποχρέωση προβληματισμού και μέτρων για τη Προστασία των Εθνικών & Ευρωπαϊκών Υποδομών Ζωτικής Σημασίας [7].

Πρόσφατες έρευνες έχουν αναδείξει με οικονομικούς , πλέον, όρους τη πραγματικότητα που θέλει όχι μόνο αυτοί καθαυτοί οι Οργανισμοί, αλλά και οι υπάρχοντες ή ενδεχόμενοι πελάτες τους, οι μέτοχοι, οι επενδυτές, οι ελεγκτές, οι ασφαλιστικές εταιρείες, όταν ξεκάθαρα δεν απαιτούν, τουλάχιστον να θεωρούν «ελκυστικότερους» εκείνους των Οργανισμών που αποδεδειγμένα διαθέτουν ένα σαφές – εφικτό – αποτελεσματικό και κυρίως κατάλληλο για τις λειτουργίες τους «Σχέδιο Αδιάλειπτης Λειτουργίας (Business Continuity Plan)», ως τελικό στόχο/κριτήριο «Αδιάλειπτης Λειτουργίας» τους.

Τι είναι και πως συναντάται στην καθημερινότητά μας η περιπαθής έννοια/όρος «Business Continuity»;

Δυστυχώς, μέχρι και ημέρας σύνταξης παρόντος, στην αντίληψη και γνώση του συντάκτη του δεν έχει υπάρξει άλλη θεσμική απόπειρα οροθέτησης άλλη από αυτή που το Άρθρο 2- [παράγραφος ε) Ορισμοί,] στην «Οδηγία 2008/114/ΕΚ του Συμβουλίου – 8/12/2008, με έμμεσο & λανθάνοντα τρόπο εισάγει για πρώτη φορά εξοικειώνοντας μας τις έννοιες: της λειτουργικότητας – της συνέχειας & της ακεραιότητας. Φυσικά πολύ απέχουν από το να αποτελέσουν τη ρητή εννοιοθέτηση που ο όρος «Αδιάλειπτη Λειτουργία» ή «Επιχειρησιακή Συνέχεια» διεκδικεί να σημαίνει και να συνεπάγεται.

Όμως, η «πραγματική αγορά», ως άκρως δυναμικό στοιχείο, έρχεται να περιορίσει τις επιπτώσεις αυτού του ελλείμματος, μέσω της χρησιμοποίησης μεθόδων/μοντέλων ISO (International Organization for Standardization), παρέχοντας τις κάτωθι συναφείς αλλά σαφώς οριοθετημένες χρήσεις του γενικού όρου:

• «Αδιάλειπτη Λειτουργία/Business Continuity (BC)» [8].
• «Διαχείριση Αδιάλειπτης Λειτουργίας/Business Continuity Management (BCM)» [9].
• «Σύστημα Διαχείρισης Αδιάλειπτης Λειτουργίας / Business Continuity Management System (BCMS)» [10].
• «Σχέδιο Αδιάλειπτης Λειτουργίας / Business Continuity Plan (BCP)» [11].
• «Πρόγραμμα Αδιάλειπτης Λειτουργίας / Business Continuity Programme (BCPR) [12].

 

Για όσους σπεύσουν να εκφράσουν αντιρρήσεις κατά το πόσο τα φαινόμενα που καταγράφηκαν στην εν λόγω περιοχή συνιστούν πεδίο εφαρμογής του όρου, καθότι κυρίως επλήγησαν κατοικίες, υπενθυμίζεται ότι «…(μαζί με τις 968 κατοικίες) επλήγησαν 136 επαγγελματικοί χώροι – 11 δημόσια κτίρια και 188 αποθήκες…» [13]. Αντίθετα, η πιθανή αντίρρηση τους αναδεικνύει ότι ο Κρατικός μηχανισμός στη περίπτωση αυτή όχι μόνο δεν μπόρεσε εκ των πραγμάτων να διασφαλίσει την από το Σύνταγμα της χώρας υποχρεώσεις του απέναντι στο φορολογούμενο ιδιώτη/πολίτη του, αλλά επιπρόσθετα ήταν αυτός που με αυτά που έπραξε και με όσα δεν εφάρμοσε και δημιούργησε το πρόβλημα και ανέδειξε την έλλειψη «Προγράμματος Αδιάλειπτης Λειτουργίας / Business Continuity Programme(BCPR). Αφού, σε κάθε περίπτωση όλοι οι πληγέντες δεν θα μπορούν λόγω της καταστροφικής διατάραξης της κανονικότητας τους να είναι καταναλωτές και παραγωγοί οικονομικής αξίας & υπεραξίας…

Μελετώντας, τις ανωτέρων επιμέρους 05 εκφάνσεις του όρου « Business Continuity (BC) », εύκολα διαπιστώνει κανείς ότι σε τουλάχιστον τρεις (03) από αυτές, υπάρχει ένας πολύ καθοριστικός παράγων… Αυτός του «προκαθορισμένου επιπέδου». Εισάγοντας με λανθάνοντα τρόπο τα κριτήρια χρόνου – κρισιμότητας – συνέργειας επιμέρους υπηρεσιών, προϊόντων & διαδικασιών του όποιου Οργανισμού/Υποδομής ως προς το τελικό αντικείμενο δράσεων του/της.

Αυτός ο παράγων, άλλωστε, συνιστά και το «σύνορο» της έννοιας «Αδιάλειπτη Λειτουργία» από τη γειτνιάζουσα έννοια «Ανάκαμψη – Ανάκτηση» (απόδοση του «Recovery»)!!! Κατά την υποκειμενικότατη κρίση του συντάκτη παρόντος, ακόμα και αυτή η φαινομενικά «ευδιάκριτη» διάκριση, μόνο δεδομένη δεν πρέπει να είναι. Αφού, εμπεριέχει πολλές ασάφειες γύρω από τις αποδόσεις -κυρίως στην Ελληνική γλώσσα- των εννοιών «ανάκτηση, ανάκαμψη, αποκατάσταση». Σε κάθε περίπτωση, όμως, αποτελεί τον θεσμικά «κοινό τόπο» που θα πρέπει να ορίζει και να διέπει τη κατάκτηση του στρατηγικού στόχου των σύγχρονων Οργανισμών.

Δυστυχώς στη χώρα μας, διαπιστώνουμε ολοένα και συχνότερα ότι αυτά που αυτονόητα δεν πρέπει να εξαντλούνται στο χρόνο, στο κόπο και στο κόστος που καταβάλλονται για τη συγγραφή και θέσπιση τους, στη πραγματικότητα καταντούν ένας αριθμός φακέλου αρχείου, τον οποίο όλοι εκ των υστέρων αναζητούν εναγώνια για να αντλήσουν «κρότο» οι χωρίς ουσία δικαιολογίες των καθ’ ύλην αρμόδιων προκειμένου να συγκαλύψουν ευθύνες αποδίδοντας τες “ο ένας στον άλλο”.

Λες και η ανυπαρξία αποτελεσμάτων και η έλλειψη δράσεων μπορεί να σκεπασθεί με το θόρυβο κενών λέξεων, λες και οι απώλειες ανθρώπινης ζωής και αξιοπρέπειας μπορούν να επαναφέρουν ανθρώπους και εμπιστοσύνη.

Ο κρίσιμος ρόλος του ανθρώπινου παράγοντα

Στην περίπτωση που υπήρξε, ένα «Σύστημα Διαχείρισης Αδιάλειπτης Λειτουργίας / Business Continuity Management System (BCMS)», θα έπρεπε να έχει προβλέψει στα καταστροφικά φαινόμενα Μάνδρας; Και εφόσον αυτό υπήρξε, τι δεν έγινε σύμφωνα με τα όσα θα έπρεπε ώστε οι πιθανότητες εκδήλωσης των ακραίων φαινομένων μεγάλης έντασης και περιορισμένου χρονισμού να έχουν συνέπειες εκ προοιμίου μετρήσιμου και αποδεκτού ρίσκου;

Πριν από κάθε απάντηση, χρήζει υπόμνησης ότι κάθε σύστημα διαχείρισης δεν αποτελείται αποκλειστικά και μόνο από «ορθώς επιλεγμένα» πόρους – τεχνικές – μηχανισμούς και εξοπλισμό, αλλά επιπλέον για να υπάρξει και για να λειτουργήσει αποτελεσματικά προϋποθέτει και συνεπάγεται τη θετική προδιάθεση, την ενεργό εμπλοκή την αποτελεσματική δράση ατόμων της Διοίκησης, των στελεχών και των εργαζομένων του οργανισμού.

Κατά λογική συνέπεια, λοιπόν, στα πλαίσια διαμόρφωσης ενός «Σύστηματος Διαχείρησης Αδιάλειπτης Λειτουργίας (BCMS)» ο εντοπισμός του κατάλληλου ανθρώπινου δυναμικού θα πρέπει να αποτελεί πάντα το πρώτο μέλημα κάθε οργανισμού και όσων από τη διοίκηση του αναλαμβάνουν την αρμοδιότητα αυτή.

Καθότι, ακόμα και οι απαραίτητες συνεχείς ασκήσεις επάρκειας πλάνων, ετοιμότητας δεν αποβλέπουν μόνο στον διαρκώς ζητούμενο έγκαιρο και μετρήσιμο εντοπισμό της όποιας προκύπτουσας ανάγκης αποκατάστασης ή επικαιροποιήσης ή αναβάθμισης συστημάτων – διαδικασιών – τεχνολογικών εφαρμογών – λειτουργιών & επικοινωνιών, αλλά κυρίως στο να επιτυγχάνεται η απόκτηση από πλευράς των εμπλεκομένων ατόμων και ομάδων αισθήματος επάρκειας και ικανότητας τους να ανταποκριθούν στις λειτουργικές ανάγκες που έχουν να επιτελέσουν ώστε ο -κάθε- Οργανισμός να εκπληρώσει απέναντι στη κοινωνία, στους πελάτες, στους προμηθευτές και στο προσωπικό του τον συμπεφωνημένο ρόλο του.

Πρόδηλα, στα καταστροφικά φαινόμενα Μάνδρας ο «ανθρώπινος παράγων» σε στρατηγικό & τακτικό επίπεδο αναζητήθηκε και ευρέθη απών!!! Το πλέον προβληματικό «εύρημα» υπήρξε ότι όπου ανευρεθεί διαπιστώθηκε ότι άτομα-στελέχη που εκμεταλλευόμενα την διοικητική ανάγκη λήψης συναινετικών αποφάσεων, αφενός «μεριμνούσαν» με τη στάση τους να μην επιτυγχάνεται, αφετέρου ξοδεύοντας το χρόνο εργασιών με τη λεπτομερή καταγραφή των δήθεν αντιρρήσεων τους αποσκοπούσαν απλά στο να αποποιηθούν προσωπικών τους ευθυνών στη περίπτωση μη επιτυχούς εφαρμογής του BCMS…[14].

Συμβάλλοντας με αυτή την «πρακτική / στρατηγική» τους με σιωπηλό -αλλά συστηματικό- τρόπο στο να απομακρύνουν τον Οργανισμό από το να διαθέτει ουσιαστικά το BCMS επί του οποίου νόμιζε ότι έχει επενδύσει για την «Αδιάλειπτη Λειτουργία» του. Και όταν τα γεγονότα ήλθαν να προσεδαφίσουν ψευδαισθήσεις Αρχών – Οργανισμών – Διοικούντων – Πολιτών – Ανθρώπων αλλά και των «ειδικών», τότε χρησιμοποιώντας την «επιστήμη» γνωμοδότησαν ότι δυστυχώς επρόκειτο περί ενός ακόμα “black swan incident” [15], για το οποίο -μάλιστα- είχαν «έγκαιρα» εκφράσει τις φοβίες τους για την μη επάρκεια του BCMS να το αντιμετωπίσει…

Οι υπαρκτές εξαιρέσεις εκ των ανωτέρω καταγραφέντων ευρημάτων και ελάχιστες υπήρξαν και ονομαστικές αξίζει να γίνουν και να αναγνωρισθούν. Επιπλέον, όμως, αναδεικνύουν τη σημασία μιας ακόμη αδήριτης πραγματικότητας: οι Υπεύθυνοι, οι Αρμόδιοι, οι Κατέχοντες τεχνογνωσία, οι έχοντες επαγγελματική νοοτροπία & συνείδηση, είτε αξιωματούχοι (…& αναπληρωτές τους) – είτε απλοί εργαζόμενοι που εμπλέκονται στο BCMS προάγονται, μετακινούνται, αποχωρούν, συνταξιοδοτούνται… Αυτό σημαίνει ότι θα πρέπει άμεσα να αντικαθίστανται όχι μόνο στα εγχειρίδια – αλλά και στην ενεργό πραγματικότητα του Οργανισμού!!!

Η αξιοποίηση του BCP στα πλαίσια Εθνικού Σχεδίου

Συνεχίζοντας τη προσπάθεια ανεύρεσης άλλων ελλειμμάτων που ανέδειξαν τα καταστροφικά φαινόμενα Μάνδρας, εύκολα εντοπίζει πως τα όποια BCMS επιμέρους Οργανισμών δημόσιου και ιδιωτικού χαρακτήρα υπήρξαν, όποια από αυτά ενεργοποιήθηκαν και όσα εξ αυτών τελικά λειτούργησαν δεν κατάφεραν στη συντριπτική τους πλειοψηφία να αποφύγουν το «σύνηθες λάθος» των συντακτών και υπευθύνων διαχειριστών ενός «Σχεδίου Αδιάλειπτης Λειτουργίας / Business Continuity Plan (BCP)».

Συγκεκριμένα, το «σύνηθες λάθος» συνίσταται στο ότι τα επιμέρους (BCPs) δεν συμπεριλαμβάνουν στο σκεπτικό τους ότι το BCP του κάθε επιμέρους Οργανισμού ενδέχεται είτε να ενεργοποιεί, είτε να άπτεται σε ορισμένα σημεία του ή σε συγκεκριμένης έντασης περιστατικά, αντίστοιχων «Εθνικών Σχεδίων Πολιτικής Προστασίας ή Δημόσιας Τάξης ή Κρατικής Ασφάλειας». Επί το απλούστερο, το παραπάνω σημαίνει πως σε μια τέτοια περίπτωση το BCP του Οργανισμού θα χρησιμοποιηθεί κατά το δοκούν από την αρμόδια Κρατική Αρχή πρώτα ως ένα από τα εργαλεία επίτευξης του Εθνικού Σχεδίου και στη συνέχεια θα ενεργοποιηθεί για το σκοπό που ο οργανισμός το έχει σχεδιάσει. Στην περίπτωση αυτή, το BCP του οργανισμού θα προσαρμοσθεί σε «δεύτερο ρόλο» με πρώτο αυτόν που οι συνθήκες της χώρας ή της ευρύτερης περιοχής εκείνη τη στιγμή επιτάσσουν. Κατά συνέπεια, έχει λιγότερες πιθανότητες επιτυχίας από όσες οι στρατηγικές προτεραιότητες του Οργανισμού είχαν αρχικά στοχεύσει να πετύχουν με την ενεργοποίηση του.

Δυστυχώς, στα καταστροφικά φαινόμενα Μάνδρας και αυτή η αστοχία κατεγράφη!!! Ακόμη χειρότερα συνδυάστηκε από την απουσία συνεργασίας μεταξύ των όποιων επιμέρους BSMS. Γεγονός που χρεώνεται στην νοοτροπία που αποκτούν οι έχοντες την διοικητική αρμοδιότητα του BCP, όταν με το πέρασμα του χρόνου τα σχέδια τους «λειτουργούν» χωρίς οι συγκυρίες να διαψεύδουν την αποτελεσματικότητα τους. Μόνο άτομα με επαγγελματική κουλτούρα (ακόμη και όταν αυτή εμπεριέχει στοιχεία χαρακτηρισμού της ως «υποκουλτούρας»…) «Security & Safety» έχουν αποκτήσει το «μικρόβιο» αέναης ανεύρεσης αποδεκτής απόστασης του όποιου υφιστάμενου «Σχεδίου» από τη δυναμική πραγματικότητα αναγκών. ‘Ένας επαγγελματίας του «Security Industry» σπάνια δεν θα είχε μεριμνήσει ώστε σε τακτά και έκτακτα πλαίσια να επικοινωνεί αμφίδρομα με αντίστοιχους του άλλων γειτνιαζόντων Οργανισμών προκειμένου να επικαιροποιείται η συνέργεια των επιμέρους «Σχεδίων» αρμοδιότητας τους. Πολύ, δε, περισσότερο όταν κάποιες εκ των εγκαταστάσεων αντενδείκνυται να γειτνιάζουν…, όπως ίσχυε στην περίπτωση της ευρύτερης περιοχής Μάνδρας-Μεγάρων!!!

Σχέδιο Ασφάλειας & Σχέδιο BCP

Αν από τα παραπάνω μπορεί να συναχθεί κάποιο κοινό συμπέρασμα αυτό δεν είναι άλλο από το ότι η επιλογή των κατάλληλων ατόμων τόσο κατά τις φάσεις του σχεδιασμού & της υλοποίησης όσο και κατά τη διάρκεια των φάσεων επικαιροποίησης & εφαρμογής του κάθε BCP πρέπει να έχει το πλέον κομβικό ρόλο[16]. Και η απάντηση -αν υπάρχει- βρίσκεται στο ερώτημα: «το «ποιοι (θα) το κρίνουν και πως θα εμπλακούν».

Πάγια και δημόσια εκπεφρασμένη επαγγελματικής θέση είναι του συντάκτη παρόντος είναι ότι η ευθύνη σύνταξης – εφαρμογής – τήρησης – επικαιροποιήσης & υλοποίησης του «Σχεδίου Αδιάλειπτης Λειτουργίας» δεν αποτελεί ούτε αρμοδιότητα, ούτε ευθύνη, ούτε και αντικείμενο γνώσης επαγγελματιών του Τμήματος ή Δ/νσης Ασφαλείας. ΟΥΤΕ ΘΑ ΜΠΟΡΟΥΣΕ!!! Αφού, η εμπλοκή και ο ρόλος τους είναι μεν με απόλυτη σαφήνεια επιθυμητά, προβλεπόμενα, αναγκαία, αλλά -όμως-και αυστηρά οριοθετημένη από τα σχετικά ISOs [17].

Είναι μια αποτυχία των επαγγελματιών που εργάζονται με όποιους τίτλους και θέσεις στο «Security Industry» να είναι από 15ετίας τουλάχιστον… πειστικοί προς τους πάσης φύσης εντολοδόχους τους στο να κατανοήσουν και να αποδεχθούν με μετρήσιμο τρόπο τη σημασία του έργου ΜΑΣ; Να αποδέχονται το προϊόν εργασίας ΜΑΣ όχι μόνο όταν είναι «φθηνότερο» σε κόστος και ουσία; Να μην βλέπουν ένα «Σχέδιο Ασφαλείας» σαν ένα ακόμη «toy»… επαγγελματικής μας κατοχύρωσης, αλλά σαν ένα «tool» που η γνώση και η εμπειρία μας προσφέρει προδραστικά στους Οργανισμούς «συμφερόντων τους την επιλογή να διοικούνται με εκ προοιμίου αποδεκτό -άρα γνωστό- επίπεδο ρίσκου!!!

Γιατί, ένα ΠΛΗΡΕΣ «Σχέδιο Ασφαλείας» τι άλλο είναι από μια ανάστροφη αποτύπωση των θεμάτων που πραγματεύεται ένα «Σχέδιο Αδιάλειπτης Λειτουργίας/(BCP)»; Ίσως, μια απάντηση θα μπορούσε να ανευρεθεί στα όσα μεταξύ άλλων έχουν καταγραφεί για τα καταστροφικά γεγονότα της Μάνδρας: «…πρόκειται για μια περιοχή η οποία χαρακτηρίζεται από «μεγάλες μορφολογικές κλίσεις, χείμαρρους οι οποίοι δεν μπορούν να παραλάβουν τα υδραυλικά φορτία, αλλά και έδαφος το οποίο διαβρώνεται και τροφοδοτεί το νερό με στερεή ύλη… Τα στοιχεία αυτά, συνδυασμένα με τις μεγάλες μορφολογικές κλίσεις (αλλά και) την απόφραξη της ακτογραμμής, όταν το φορτίο πρέπει να εκβάλει, οδήγησαν σε συνδυασμό γεγονότων και φαινομένων, τα οποία εκδηλώθηκαν έτσι με μια μεγάλη ένταση και ραγδαιότητα. Οι επιβαρυντικοί αυτοί παράγοντες ενισχύθηκαν από τις ανθρώπινες παρεμβάσεις και τον αστικό χώρο…, (αφού) πρόκειται για περιοχές με μεγάλη πυκνότητα οικιστικού ιστού, χώρους με μάντρες, περιοχές που μπήκαν στο σχέδιο πόλης, χωρίς να υπάρχει καμία διαδικασία (ενώ) δεν υπήρχε καμιά μέριμνα για ασφαλείς κατασκευές» [18].

Ήταν όλα εκεί…, απειλές – τρωτότητες – συνέπειες – πιθανότητες – ιστορικό – επικινδυνότητα – αντίμετρα & τελικές αποφάσεις!!! «Εκεί» ήταν και οι λύσεις όμως, ή όχι;

Δυστυχώς, ακόμα, μέχρι σήμερα δεν έχω βρει επιχειρήματα που να μην διασυνδέουν τα ανωτέρω ερωτήματα με το γεγονός ότι αν όχι από το 1987 [19], τουλάχιστον από το 2005 [20] οι επαγγελματίες του «Security Industry» δεν κατάφεραν να οριοθετήσουν τη δράση τους σύμφωνα με τα πρότυπα που θα έθετε ένα ISO για το «Physical Security», ενώ δεκάδες ISOs που διέπουν την εφαρμογή πολλών συμπληρωματικών ή παραπληρωματικών θεματικών του, είναι ήδη υπαρκτό γεγονός. Με αποτέλεσμα, να έχουν εμφιλοχωρήσει από το 2006 εντός των πεδίων εφαρμογής του εισάγοντας στο «Industry» νέους όρους-λέξεις-πρακτικές ακόμα και στόχους, ενίοτε ετσιθελικά και -κάποτε- άκριτα & αντιφατικά.

Αφού απολογηθώ για τη κατάχρηση χρόνου πιθανών αναγνωστών παρόντος και ευχαριστήσω την ομάδα του “SECURITY MANAGER” για τη φιλοξενία, κλείνοντας τις σκέψεις μου υπενθυμίζω το αυτονόητο: «Το παρόν κείμενο δεν θα μπορούσε να παρουσιάσει εξονυχιστικά μια πλήρη κάλυψη της θεματικής, απλά φιλοδοξεί να προσφέρει μια αφετηρία προβληματισμού για τη διέξοδο… και τα αδιέξοδα, που τίθενται -δυστυχώς ακόμα μόνο…- a posteriori θλιβερών γεγονότων.

 

ΠΑΡΑΠΟΜΠΕΣ

[1]. Newsroom, CNN Greece/ 12:58 Παρασκευή, 24 Νοεμβρίου 2017

[2]. ΑΠΕ-ΜΠΕ, 13:07 16/11/2017, καθηγητής κος Ευθ. Λέκκας

[3]. Ανακοίνωση της Ν.Ε. Δυτικής Αττικής της ΛΑ.Ε. 15-11-2017

[4]. Π.Δ.Τ.Ε. 2577/2006, σελ. 1-28.

[5]. Π.Δ. 2577, Παρ.2, Γ.4.

[6]. Κανονισμός Α.Δ.Α.Ε., Αριθμ.633 α., Άρθρο 11.

[7]. «Οδηγία 2008/114/ΕΚ του Συμβουλίου – 8/12/2008 σχετικά με το προσδιορισμό και το χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης της προστασίας τους», Επίσημη Εφημερίδα Ευρωπαϊκής Ένωσης 23-12-2008, (κείμενο στην Ελληνική).

[8]. ISO/DIS/22313:2011, σελ. 2 – 3. Terms and Definitions, 3.3.

[9]. ISO/DIS/22313:2011, σελ.. 2 – 3. Terms and Definitions, 3.4.

[10]. ISO/DIS/22313:2011, σελ. 2 – 3. Terms and Definitions, 3.5.

[11]. ISO/DIS/22313:2011, σελ. 2 – 3. Terms and Definitions, 3.6.

[12]. ISO/DIS/22313:2011, σελ. 2 – 3. Terms and Definitions, 3.7.

[13]. ΠΟΝΤΙΚΟ WEB , 21-11-2017

[14]. Henry Kissinger (1979) Vol.1, p.598

[15]. Taleb, Nassim Nicholes (2010) [2007]. «The Black Swan: the impact of highly improbable (2nd edition). London: Penguin ISBN 978-0-14103459-1, Retrieved 23 May 2013».

[16]. Smith (2011) «A recipe for chaos». [30]. Lord Cullen (1988) «Piper Alpha Inquiry Report».

[17]. ISO 22301:2012 «Societal Security – Business Continuity Management Systems – Requirements» & ISO 22313:2012 «Societal security – Business continuity management systems – Guidance».

[18]. Όπως ανωτέρω [2] παραπομπή

[19]. 1st Quality Management Standard

[20]. Management System on Information Security