Хрупкие цепочки поставок: неудобная правда о вашем производстве

В этом интервью для Help Net Security Криста Доду, глобальный председатель IFMA, рассказывает о том, как менеджеры по эксплуатации зданий управляют рисками цепочки поставок для критических систем. Она объясняет, как закупки, локальное резервирование и гибкий дизайн инфраструктуры интегрируются в планирование устойчивости. Доду также делится практическими подходами, такими как региональные сети поставщиков, альтернативные контракты и стратегические запасы для обеспечения непрерывности работы во время сбоев.

Большинство прогрессивных менеджеров по эксплуатации рассматривают закупки как ключевую часть не только снабжения, но и управления рисками и обеспечения устойчивости. После глобальной пандемии и войны в Украине специалисты осознали необходимость локального резервирования, особенно при управлении международным портфелем объектов. Например, закупка материалов у предварительно проверенных региональных поставщиков и использование компонентов с выведенных из эксплуатации активов может стать эффективным решением с низким риском и устойчивым подходом.

Принцип «устойчивость через дизайн» также помогает снизить риски, связанные с цепочками поставок, обеспечивая гибкость для интеграции локальных альтернатив в инфраструктуру здания с самого начала. Пандемия COVID-19 и связанные с ней вызовы стали лучшим событием для менеджеров по эксплуатации, поскольку позволили легализовать нестандартные решения для большинства операционных процессов. Другой вариант, который я применяю в своей работе, — использование альтернативных договорных соглашений на некоторые услуги, что обеспечивает высокий уровень гибкости во время сбоев в поставках.

Иногда менеджерам также необходимо вернуться к основам и возродить старую добрую практику хранения стратегических запасных частей для критических систем. Учитывая современные технологические возможности, это не идеальный подход, но есть смысл в интеграции традиционных методов для гарантии непрерывности бизнеса.

В нестабильных регионах, где действует большинство организаций по реагированию на чрезвычайные ситуации и НПО, необходимо сместить фокус с реактивных на упреждающие подходы. Это включает операционные мероприятия, такие как создание резервных систем энергоснабжения, водоснабжения и связи в рамках одного объекта, чтобы позволить организациям работать автономно в течение установленного целевого времени восстановления, если это потребуется. В большинстве ситуаций лучшей стратегией является скрытность на виду. Укреплённый объект не должен выглядеть как крепость и обязан быть максимально неприметным. Маскировка защитных элементов, например, взрывостойких материалов в зонах конфликтов, и гармоничное вписывание в местную архитектуру помогают избежать или минимизировать целенаправленные атаки.

С ростом использования операционных технологий (ОТ) также возникает необходимость снизить уязвимость к кибератакам, внедряя высокий уровень кибербезопасности как в ИТ-, так и в ОТ-системы. IFMA сотрудничает с Building Cyber Security для решения растущих киберрисков в сфере строительства, предоставляя обучение, инструменты и методологии, которые помогут руководителям объектов сократить разрыв между ИТ и физической безопасностью.

К сожалению, этот разрыв всё ещё велик, поскольку большинство планов обеспечения непрерывности бизнеса создаётся лишь для соответствия аудиторским требованиям. Регулярное тестирование таких планов не проводится, а в случаях, когда тесты всё же выполняются, используемые сценарии не отражают реалистичных ситуаций, так как они вызывают дискомфорт. Суть в том, что большинство организаций не желает нарушать рабочие процессы, если их к этому не принудят.

Многие руководители объектов подтвердят: при проведении учений всегда выявляются недочёты, а активы, обозначенные на бумаге как «готовые», часто оказываются не на должном уровне. Устойчивость — это не документы, а мышечная память. Интеграция стандарта ISO 22301 (непрерывность бизнеса) в систему менеджмента ISO 41001 (управление объектами) — один из способов сократить этот разрыв и обеспечить более комплексный подход к планированию критически важных услуг.

Это ещё один урок, извлечённый из глобальной пандемии. Руководители объектов научились создавать кадровое дублирование, распределяя компетенции и развивая множество удалённых функций и операционных возможностей, которые гарантируют, что ключевые роли не будут полностью парализованы во время инцидента. Для глобальной организации наличие персонала в разных регионах в качестве резерва для поддержки или дублирования критических функций — более простой способ обеспечить непрерывность работы.

Устойчивость должна быть целенаправленной и рассматриваться как ключевой класс активов. Превращение её из статьи бюджета в часть культуры и мышления каждого сотрудника организации гарантирует, что при возникновении катастрофы её объекты смогут восстановиться быстрее.