O vorbă înțeleaptă ne amintește că omul gospodar își face iarna car și vara sanie. Cu alte cuvinte, este bine să păstrăm tot ce este mai bun din strategiile care și-au dovedit eficiența în vremurile „de vară“, dar să ne pregătim continuu pentru „iarna“ care vine și, mai cu seamă, să consolidăm barajele pentru contracararea riscurilor viitoare.În literatura de specialitate acest concept poartă denumirea de Managementul Continuității Afacerii. Având în vedere că noi, la Banca Națională a României, avem doar atribuții și activități specifice, conform legii, și nu facem „afaceri“, obișnuim să numim acest gen de prudență managementul continuității activității.
O „lebădă neagră“ a înfiorat planeta
Criza provocată de pandemie o putem asemăna, fără să greșim, cu o „lebădă neagră“, expresie folosită pentru un eveniment extrem de rar, neașteptat și cu un impact foarte mare. Autorul acestui concept este Nassim Nicholas Taleb. Pentru că nimeni nu se aștepta la o evoluție pandemică de genul celei declanșate în martie 2020, care a afectat întregul mapamond.
Banca Națională, monitorizând informațiile care veneau de pretutindeni, a atras atenția încă din 31 ianuarie 2020 asupra pericolului unei viitoare pandemii. O criză a sănătății publice al cărei impact, pentru economie și pentru relațiile sociale, avea să se dovedească a fi foarte puternic și de durată.
La 26 februarie 2020, pe când pandemia nu fusese declarată încă de Organizația Mondială a Sănătății, guvernatorul BNR a convocat o primă ședință a Comitetului pentru Situații de Urgență, la care au participat toți membrii executivi ai Consiliului de Administrație și conducerea structurilor cu activități critice, pentru a se stabili măsurile proactive cele mai adecvate, în contextul respectiv, dominat de incertitudine, pentru asigurarea rezilienței Băncii Naționale și a sistemului bancar.
La 18.03.2020, imediat după declararea pandemiei de către O.M.S., printr-un comunicat de presă, s-a făcut cunoscut că: „Banca Națională a României a întreprins un set de măsuri pentru a sprijini eforturile autorităților publice și ale sistemului bancar de a limita efectele crizei asupra economiei naționale. În primul rând, BNR a luat toate măsurile necesare pentru a asigura, în continuare, buna funcționare a sistemelor de plăți și de decontare în monedă națională, în vederea desfășurării, în condiții normale, a tranzacțiilor comerciale și financiare, indiferent de evoluția situației cauzate de pandemie. De asemenea, BNR monitorizează și analizează permanent evoluțiile interne și internaționale, precum și impactul pandemiei asupra piețelor financiare și economiei naționale, fiind pregătită să asigure stabilitatea necesară în condițiile date, precum și lichiditatea sistemului bancar, pentru buna funcționare a finanțelor publice și a economiei reale. Finanțarea curentă a cheltuielilor publice (salarii, pensii, cheltuieli sociale, investiții, etc.) fiind prioritară. În cazul unei cereri crescute din partea populației, BNR s-a angajat să asigure băncilor fluxuri neîntrerupte de numerar pentru toate operațiunile, inclusiv cele de lichidități pentru bancomate. Clienților bancari, mai cu seamă, li s-a asigurat accesul deplin la banii disponibili în conturile lor, indiferent că aleg să retragă sume de la ATM-uri, să opereze tranzacții bancare sau, dacă este necesar, să se deplaseze la sucursalele și agențiile băncilor. Pentru a evita, totuși, contactul fizic direct și deplasările care nu sunt urgente, BNR a recomandat efectuarea operațiunilor bancare, pe cât posibil, prin intermediul mijloacelor moderne de plată disponibile, precum cardurile sau plățile online. Susținând în acelasi timp totalitatea demersurile sistemului bancar, de sprijinire a persoanelor fizice și companiilor afectate de criză, prin modalități adecvate, de la caz la caz, de ușurare a ratelor la creditele în curs și de facilitare a accesului la noi linii de finanțare. Totodată, a pregătit modificări adecvate ale regulamentelor bancare prudențiale, în concordanță cu recomandările europene și internaționale pentru această perioadă, asigurând și menținerea în limite acceptabile a bonității instituțiilor financiare și a clienților nebancari (companii și populație)“.
Personalul BNR - cea mai importantă resursă de continuitate
În cazul băncii centrale, pentru activitățile critice identificate, sunt necesare persoane specializate, cu experiență, pregătite corespunzător și permanent. În cazul unui incident, dacă acest tip de personal nu este disponibil, este foarte greu de înlocuit, mai ales
într-un timp scurt. De aceea, odată cu punerea în funcțiune a primului sediu secundar, noi, cei care răspundeam de continuitate în bancă, ne-am pus problema de implementare a regimului de telemuncă. În sensul ca o parte din personal să nu fie prezent fizic la birou, dar să își desfășoare activitatea de acasă, și, în cazul unui incident, să poată prelua activitatea celorlalți colegi, aflați în sediile BNR. Dacă în timpul crizei precedente, de la cumpăna deceniilor unu si doi, condițiile tehnice și legislative nu a au permis implementarea acestei măsuri de continuitate, începând din 2018 însă, odată cu apariția Legii nr. 81, privind reglementarea activității de telemuncă, în bancă s-a format un comitet care a analizat modul în care se poate aplica această lege. Evident, nu în toate structurile băncii devenise posibil să fie aplicată această lege, dar s-au identificat acele activități care se pretează pentru telemuncă.
Astfel încât, în martie 2020, la declararea pandemiei, la solicitarea conducerii executive, într-un timp foarte scurt, a fost elaborat Regulamentul de telemuncă și astfel multe activități critice s-au putut realiza de la distanță, în condiții optime de siguranță sanitară.
A fost nevoie de efort comun din partea Direcției Servicii Informatice și a structurilor pentru identificarea necesarului de laptopuri, apoi pentru instalarea și setarea acestora pentru a putea fi folosite de acasă de către colegii noștri.
Treptat, din ce în ce mai mulți colegi au avut remote acces (acces de la distanță), atât pentru accesarea e-mail-ului, cât și pentru rularea de aplicații specifice activităților critice.
O altă măsură de continuitate care s-a luat în acel moment a fost împărțirea echipelor, adică o parte din personal a continuat activitatea la sediul central, iar cealaltă parte a lucrat de la sediul secundar, care era deja funcțional și echipat corespunzător pentru astfel de situații. Astfel, cele două echipe nu au interacționat în același loc de muncă, fiind evitat riscul de contagiune simultană a întregii echipe.
Având însă în vedere apariția și răspândirea virusului SARS-CoV-2, Direcția Protecția Valorilor – coordonatoarea activității de asigurare a continuității – a inițiat și a propus conducerii executive măsuri de protecție a tuturor salariaților BNR și acordarea de materiale de primă necesitate (ex.: măști de protecție).
În vederea confruntării
(posibile) cu un risc potențial în caz de pandemie – respectiv lipsa personalului calificat și competent, a fost propusă – la un moment dat – și apelarea la o soluție extremă: autoizolarea la locul de muncă (în locații care urmează a fi stabilite) pentru personalul cu activități critice, după modelul producătorului de energie Nuclearelectrica. Amintim că respectiva companie a anunțat, în martie în martie 2020, că a inițiat implementarea măsurii de izolare la locul de muncă a personalului esențial de operare și de producție din cadrul centralei nuclearo-energetice de la Cernavodă. Din fericire, nu a fost necesară luarea unei astfel de măsuri în cazul BNR.
În cadrul deselor ședințe ale Comitetului pentru Situații de Urgență – realizate în sistem teleconferință și conduse de guvernatorul BNR – au fost luate măsuri graduale, astfel: limitarea vizitatorilor în sediile BNR; anularea deplasărilor externe pentru salariații BNR; închiderea ghișeelor sucursalelor regionale (lucrul cu publicul); închiderea Muzeului și a Bibliotecii BNR.
Pentru a gestiona cât mai bine situația pandemică, personalul a fost permanent informat, în această perioadă, pe e-mail și pe site-ul intranet BNR, au fost luate rapid măsuri suplimentare de protecție fizică și de ordin administrativ, între care amintim: au fost achiziționate lămpi biocide pentru dezinfectarea spațiilor de lucru; au fost montate panouri despărțitoare de plastic în birourile unde nu s-a putut realiza distanțarea colegilor; conducerea executivă a dispus, în anumite perioade, prezența unui singur salariat într-un birou – ceilalți desfășurându-și activitatea în telemuncă; dezinfectarea săptămânală a spațiilor în toate clădirile.
În perioadele cele mai fierbinți ale pandemiei, în sediile BNR au fost prezenți la birou doar 20-25% dintre salariați, iar ședintele de lucru au avut loc în sistem teleconferință/ videoconferință.
Au fost monitorizate atent cazurile confirmate COVID-19, interacțiunile și contactele directe ale cazurilor confirmate pozitiv. A fost asigurată de BNR testarea RT-PCR pentru colegii care aveau simptome sau care aveau suspiciuni de infectare și care au dorit aceasta măsură, totodată fiind propuse măsuri optime de continuitate pentru fiecare caz (telemuncă, concediu medical etc.). Experții de la Protecția valorilor au avut disponibilitatea permanentă de a răspunde punctual oricăror întrebări specifice, prin conversații telefonice, atât cu colegii afectați de pandemie (pentru a lua măsurile cele mai indicate și pentru a asigura un climat cât mai bun din punct de vedere psihic pentru întregul personal), cât și cu conducerea structurilor respective, pentru susținerea în implementarea măsurilor agreate. În același timp, a fost ținută permanent legătura cu autoritățile statului, implicate în gestionarea pandemiei, pentru ca BNR să fie la curent cu cadrul legal și hotărârile emise în combaterea pandemiei.
Aceste măsuri, intensificate de când a început pandemia și până în prezent, timp de 16 luni, s-au soldat cu un rezultat remarcabil: doar aproximativ 250 de colegi au fost infectați cu Sars-Cov-2, din peste 2000, neexistând nicio întrerupere a activității BNR, cu atât mai puțin a activităților critice.
Repere istorice
Încercările prin care a trecut și trece Banca Națională, în timpul actualei pandemii, nu au constituit o premieră. Sau dacă putem să menționăm o premieră, ea este legată doar de timpul îndelungat, de mai bine de un an, în care am fost solicitați să facem față unor situații critice și unor riscuri ce s-au înlănțuit fără întrerupere și am reusit să asigurăm fără sincope continuitatea activității.
În BNR, de-a lungul anilor, au fost însă multe momente în care am fost implicați în încercări care au necesitat expertiză de specialitate, iar unul din ele a fost intrarea în anul 2000. A fost necesar un proiect, în care au fost implicate aproape toate departamentele din bancă, pentru prevenirea disfuncționalităților ce ar fi putut să apară la data de 31 decembrie 1999, ora 24.00, din cauza unor defecțiuni tehnologice legate de reprezentarea digitală a datei calendaristice din unele aplicații informatice. Acela a fost primul moment când am vorbit efectiv de Continuitate în bancă.
Cu ajutorul programatorilor au fost identificate și schimbate toate aceste câmpuri, dar eram pregătiți și aveam soluții alternative dacă aplicațiile respective nu ar fi funcționat corespunzător. Erau desemnați responsabili pentru fiecare aplicație în parte, care au monitorizat buna funcționare a acestora și care puteau lua decizii de înlocuire a sistemului informatic respectiv cu proceduri manuale, cu formulare dinainte pregătite, astfel încât activitățile băncii să nu fie afectate. Evident, aceste măsuri s-ar fi aplicat până când colegii de la informatică corectau programul IT și se putea relua lucrul automatizat.
Totul a mers ceas, am trecut cu bine în anul 2000, iar problema Y2K, rezolvată atunci, a fost prima lecție modernă de asigurare a continuității activității umane.
A se reține că factorii de decizie (în principal economici) au pregătit variantele de continuitate în numeroase runde de analiză și discuții în cadrul așa-numitului Proiect Y2K (Alan Greenspan, fost președinte al Sistemului Federal de REZERVE al SUA își amintea ulterior de experiența lor utilă la momentul ,,9/11“).
Momentul 11 septembrie 2001
Atacurile teroriste asupra WTC au reprezentat un dezastru major pentru care nu fusese prevăzut nici un scenariu. Ceea ce s-a produs la acel moment nu fusese pus în scenariile programelor de continuitate.
Dar, așa cum își amintea Alan Greenspan în 2014 (pe 11.09, la evocarea acelor momente dramatice), experiența acumulată în ședințele proiectului Y2K (Joint committee) i-au permis lui Roger Ferguson, vicepreședintele Fed (care era și singurul din board prezent în Washington la momentul 9.11) să ia deciziile cele mai nimerite pentru asigurarea sistemului financiar, cum ar fi mesajul clar, cităm: ,,Fed este deschis și va rămâne deschis ,,until an orderly closing could be achived“! La acel moment, adică la 41 de minute după lovirea celui de-al 2-lea turn, Fed a avut o primă reacție, pe când președintele Bush încă nu urcase în AirForce One.
Alan Greenspan a mai amintit că 74% dintre victimele atacurilor asupra WTC lucrau în sistemul financiar – bancar.
Pe lângă piederile umane, activitatea a fost afectată semnificativ: piața bursieră a fost blocată pentru 4 zile, iar tranzacțiile cu bonduri de stat pentru 2 zile.
Companiile a căror activitate a fost afectată au fost relocate în alte organizații, unele chiar către firme concurente! Iar cei care aveau sedii de rezervă (backup) au reușit să treacă cu bine momentul.
Sistemul Fed a conchis ulterior că cea mai importantă lecție a fost asigurarea securității personalului și criticalitatea acestuia!
De la acel moment, planurile de continuitate au început să aibă la bază scenarii posibile și – inevitabil – înglobau centrele de rezervă.
Centrele de backup erau și înainte o componentă de bază a continuității cibernetice, pentru protecția și reconstituirea datelor. De la momentul 11.09.2001 noua gândire a centrelor de backup a constat în ,,Centre alternative“ – în care să existe deja personal dedicat activităților critice, nu doar să fie activate în caz de dezastru, ci să funcționeze alternativ, ca sedii principale!
Traian Pometcu:
► șeful Serviciului Securitate Bancară (1999-2005)
► șeful Compartimentului Protecția Valorilor (2005-2011)
► director, Direcția Protecția Valorilor (2011-2021).
Victor Beizdadea:
► expert, Serviciul Securitate Bancară (1999-2005); Compartimentul Protecția valorilor (2005-2011)
► șeful Serviciului Managementul Situațiilor de urgență și continuitatea activității, Direcția Protecția Valorilor (2011-2021).
Din momentul 11 septembrie 2001 am învățat și noi la BNR. Serviciul Securitate Bancară a propus imediat conducerii achiziționarea de porți de control acces și aparate de control bagaje cu raze X la sediul central, Consiliul de Administrație aprobând instalarea lor în regim de urgență. De ce doar atunci, se poate pune întrebarea? Pentru că la acel moment s-a schimbat paradigma protecției antiteroriste. În afara sediilor cu destinație specială, dintre spațiile publice doar aeroporturile beneficiau de astfel de sisteme de control și protecție (după cum s-a constatat la 11 septembrie, nici chiar ele nu erau infailibile) instituțiile publice și, în cazul nostru băncile centrale, devenind, dintr-o dată, ținte cu potențial ridicat!
După 11 septembrie chiar si sistemul federal al Fed a adoptat, în urgență, implementarea de sisteme de protecție și control acces antitero similare, ele nefiind implementate până la acel moment.
În anul 2011 a fost înființată prima structură specializată și dedicată continuității activității în BNR: Serviciul Managementul Situațiilor de Urgență și Continuitatea Activității, din cadrul Direcției Protecția Valorilor. Personalul din cadrul acestui serviciu a început imediat elaborarea și implementarea primelor documente formale de continuitate, adică a Planului de Continuitate a activității și a Politicii de Continuitate, urmărind standardele de specialitate.
Sediile de rezervă
Pe de altă parte, planurile de continuitate post „Y2K“ au trebuit să fie revăzute corespunzător. Dacă, pentru Banca Națională exista - din 1997 - un prim sediu de backup pus la dispoziție de Comandamentul Protecției Civile (în care un număr restrâns de cadre de conducere își puteau continua activitatea, în caz de dezastru major care ar fi afectat accesibilitatea în sediul central), după 2001 s-a impus, cu stringență, realizarea unui sediu de backup propriu al băncii centrale.
Toate băncile centrale își luau măsuri de asigurare a continuității principalelor activități, în primul rând pentru sistemele de plăți și decontare - identificate ca activități critice. La nivelul Sistemului European al Băncilor Centrale au fost emise, din 2006, recomandări – în fapt, ,,cerințe exprese“. Între acestea, existența unui sediu secundar, de REZERVÂ, se impunea ca o prioritate.
Odată cu intrarea în Uniunea Europeană, Banca Națională avea să devină parte a acestui sistem și începea să implementeze cerințele pe domeniul asigurării Continuității.
Procesul de achiziție, modernizare și dotare a unui sediu secundar (de rezervă) este unul de durată și foarte costisitor. Din acest motiv, la acel moment, s-a luat hotărârea ca în perioada următoare să se identifice un spațiu de birouri, proprietatea BNR, și acesta să fie modernizat și dotat corespunzător. Dar, ca să vedem cam cât de mare ar trebui să fie acest sediu, s-a trecut întâi la faza de analiză a activităților esențiale ale departamentelor din cadrul instituției. Și astfel a fost făcută prima identificare a activităților critice, acele activități care în cazul unei întreruperi, trebuie reluate în cel mai scurt timp. De abia la acel moment s-a putut estima capacitatea viitorului sediu secundar. În anul 2009 a fost inaugurat acest sediu, de unde se putea lucra, în cazul în care sediul principal nu era funcțional sau accesibil. Acest sediu avea aproximativ 100 de posturi de lucru, și numai câteva direcții din bancă își puteau relua activitatea de aici, printre care: Operațiuni de Piață, Plăți, Contabilitate. Practic la momentul respectiv s-a utilizat un sediu secundar de tip „Warm“, adică aveam sediul, aveam dotările necesare posturilor de lucru, dar nu exista personal permanent care să lucreze de aici.
Lunar, de atunci au loc exerciții de verificare și testare a acestui sediu secundar, în care colegii verifică liniile de comunicații, aparatura propriu-zisă și modul de funcționare a aplicațiilor. Specificul acestui sediu este faptul că salariații pot ajunge în timp scurt la el, astfel încât activitățile pot fi reluate în maxim două ore, chiar și în lipsa autovehiculelor. Acest sediu și-a arătat utilitatea mai ales acum, în perioada pandemiei.
Salariații care desfășoară activități critice sunt permanent instruiți în cadrul seminariilor dedicate Continuității activității și participă la exercițiile organizate de Direcția Protecția Valorilor.
În anul 2015, Consiliul de Administrație al BNR a decis preluarea în cel mai scurt timp a aplicațiilor ReGIS și SaFIR de la S.C. Transfond S.A. Practic, anumite activități care au fost inițial externalizate, odată cu înființarea Transfond în anul 2000, au revenit în sarcina BNR.
Imediat s-a trecut la o analiză foarte amănunțită a sediilor BNR din țară, unde își desfășoară activitatea agențiile și sucursalele BNR. Pentru constituirea acestui nou centru de rezervă se urmărea utilizarea unei clădiri proprietatea BNR, care să ofere un profil global în acord cu obiectivele proiectului și cerințele de funcționare și securitate care se impun. Dintre aceste cerințe menționăm:
► amplasarea într-o zonă geografică cu un profil de risc, în special seismic, diferit de cel al capitalei (unde este amplasat sediului principal);
► spațiu suficient pentru satisfacerea obiectivelor proiectului și adecvat activitățlor deservite:
► aproximativ 70m² pentru instalarea data-centerului;
► un spațiu pentru birouri de cca. 300 m², din care o treime pentru activitățile ReGIS, SaFIR, iar restul pentru relocarea pe viitor a celorlalte activități critice
► profil de risc corespunzător al clădirii - pe linie de securitate, alimentare energie electrică, dotare cu utilități, servicii IT&C; etc.;
► acces rutier cât mai facil din București și existența unor rute secundare;
► posibilitatea asigurării resursei umane calificate care să opereze viitorul sediu;
► măsuri de securitate fizică și protecție electronică a sediului și personalului dedicat.
A fost un proiect de anvergură, încununat cu succes, astfel încât, începând din martie 2018, operarea tehnică a sistemelor ReGIS și SaFIR este asigurată de către Banca Națională a României.
Practic acest sediu secundar este de tip „HOT“, aici fiind permanent salariați care își desfășoară activitatea curentă. Noul data-center din cadrul sediului secundar a fost dimensionat astfel încât să asigure spațiu suficient, atât pentru serverele de backup ale sistemului de plăți, cât și pentru alte activități, ale altor departamente critice din bancă. Periodic, de la inaugurare, se fac teste de conectare, astfel încât, în cazul nefuncționării serverelor din sediul principal, activitatea să poată fi continuată, fără întrerupere, de pe serverele din sediul secundar, de către personalul aferent.R
În prezent, Banca Națională a Românei dispune deci de 2 sedii secundare (de REZERVĂ), adecvate pentru scenarii diferite, ambele operaționale, fiind în curs proiecte de asigurare suplimentară a relocării personalului și de asigurare a continuității și pentru alte scenarii care ar putea afecta desfășurarea activităților specifice, prevăzute de lege.
Continuitatea este un domeniu în continuă mișcare și cea mai mare greșeală ar fi ca, odată elaborate planuri de continuitate, acestea să nu fie testate, revizuite periodic și actualizate cu ultimele informații disponibile la nivel internațional.
Din acest motiv, experții Direcției Protecția Valorilor fac parte din grupuri de lucru pe tema securității și continuității activității, la care participă omologi din 33 bănci centrale, atât europene cât și de pe tot cuprinsul globului, din Banca Centrală Europeană și din alte organisme financiar-bancare. Informațiile obținute și experiența altor instituții de prestigiu sunt apoi transpuse în documentele noastre interne, care ne ajută să transformăm instituția noastră într-o bancă centrală rezilientă, în permanență preocupată să facă față noilor riscuri de securitate și continuitate.
0 comments :
Trimiteți un comentariu