مدیریت ریسک
تداوم کسب و کار چیست و چه اهمیتی دارد؟
تداوم کسب و کار به معنای توانایی سازمان برای حفظ عملکردهای اساسی در حین وقوع یک فاجعه است. برنامهریزی تداوم کسب و کار فرآیندها و رویههای مدیریت ریسک را تعیین میکند که هدف آنها جلوگیری از ایجاد وقفه در سرویسهای مهم مأموریت و ایجاد عملکرد کامل در سازمان به سریعترین و آرامترین شکل ممکن است.
اساسیترین نیاز به تداوم کسب و کار این است که عملکردهای اساسی را در هنگام بروز یک فاجعه فعال نگه دارید و در کمترین زمان ممکن از کار بیفتید. برنامه تداوم کسب و کار، حوادث مختلف غیرقابل پیشبینی مانند بلایای طبیعی، آتشسوزی، شیوع بیماری، حملات سایبری و سایر تهدیدات خارجی را در نظر میگیرد.
تداوم کسب و کار برای سازمانها از هر اندازه مهم است، اما ممکن است برای بزرگترین شرکتها حفظ همه توابع در طول یک فاجعه عملی نباشد. به گفته بسیاری از کارشناسان، اولین قدم در برنامهریزی تداوم کسب و کار تصمیمگیری در مورد کارکردهای اساسی و تخصیص بودجه موجود بر این اساس است. پس از شناسایی مولفههای مهم، مدیران میتوانند سازوکارهای خرابی را به کار گیرند.
فناوریهایی مانند آینهسازی دیسک، سازمان را قادر میسازد نسخههای به روز دادهها را در مکانهای پراکنده از نظر جغرافیایی، نه فقط در مرکز داده اولیه نگهداری کند. این امکان را فراهم میکند تا در صورت غیرفعال بودن یک مکان، دسترسی به داده بدون وقفه ادامه داشته باشد و در برابر از بین رفتن اطلاعات محافظت کند.
چرا تداوم کسب و کار مهم است؟
در زمانی که خرابی غیرقابل قبول است، تداوم کار بسیار حیاتی میباشد. زمان خرابی از منابع مختلفی تأمین میشود. به نظر میرسد برخی تهدیدها مانند حملات سایبری و تغییرات آب و هوایی در حال بدتر شدن است. تهیه یک برنامه تداوم کسب و کار که هر گونه اختلال احتمالی در فعالیتها را در نظر بگیرد، از اهمیت بالایی برخوردار میباشد.
این طرح باید سازمان را قادر سازد تا در شرایط بحرانی در حداقل سطح فعالیت خود را ادامه دهد. تداوم کسب و کار به سازمان کمک میکند تا در پاسخ سریع به وقفه، انعطافپذیری را حفظ کند. تداوم کسب و کار قوی موجب صرفهجویی در هزینه، وقت و اعتبار شرکت میشود. قطع طولانی باعث از بین رفتن مالی، شخصی و اعتبار میگردد.
تداوم کسب و کار مستلزم آن است که سازمان نگاهی به خود بیندازد، نقاط بالقوه ضعف را تجزیه و تحلیل کرده و اطلاعات کلیدی را جمعآوری کند؛ مانند لیستهای تماس و نمودارهای فنی سیستمها که میتواند در خارج از شرایط فاجعه مفید باشد. در انجام فرایند برنامهریزی تداوم کسب و کار، سازمان میتواند ارتباطات، فناوری و انعطافپذیری خود را بهبود بخشد.
تداوم کسب و کار حتی ممکن است به دلایل قانونی یا انطباق مورد نیاز باشد. به ویژه در دوره افزایش مقررات، مهم است که درک کنیم کدام مقررات بر یک سازمان خاص تأثیر میگذارد.
تداوم کسب و کار شامل چه مواردی است؟
تداوم کسب و کار یک روش پیشگیرانه برای اطمینان از ادامه عملیات حیاتی ماموریت در هنگام ایجاد اختلال است. یک طرح جامع شامل اطلاعات تماس، مراحلی برای کارهایی که باید در هنگام مواجه شدن با حوادث مختلف انجام شود و راهنمای استفاده از سند است.
تداوم کسب و کار دارای رهنمودهای مشخصی است که سازمان باید برای حفظ فعالیت خود انجام دهد. اگر زمان پاسخ فرا برسد، نباید در مورد چگونگی پیشبرد فرآیندهای کسب و کار سوالی وجود داشته باشد. شرکت، مشتریان و کارمندان به طور بالقوه در معرض خطر هستند.
تداوم مناسب کسب و کار شامل سطوح مختلفی از پاسخ است. همه چیز برای انجام مأموریت حیاتی نیست، بنابراین باید مشخص شود که چه عملیاتی باید ادامه پیدا کند و اینکه چه چیزی میتواند دوباره به صورت آنلاین بازگردد. صادق بودن در مورد اهداف زمان بازیابی و اهداف نقطه بازیابی بسیار مهم است.
این فرایند کل سازمان، از مدیریت اجرایی به پایین را در بر میگیرد. اگرچه فناوری اطلاعات ممکن است موجب تداوم کسب و کار شود، اما خرید از مدیریت و انتقال اطلاعات کلیدی به کل سازمان ضروری است. یکی دیگر از زمینههای مهم همکاری با تیم امنیتی میباشد؛ اگرچه این دو گروه غالباً جداگانه کار میکنند، اما سازمان میتواند با به اشتراک گذاشتن اطلاعات در این بخشها سودهای زیادی کسب کند. حداقل، همه باید مراحل اساسی نحوه برنامهریزی سازمان برای پاسخگویی را بدانند.
سه مولفه اصلی برنامه تداوم کسب و کار
برنامه تداوم کسب و کار دارای سه عنصر اساسی است: انعطافپذیری، بازیابی و احتیاط.
سازمان میتواند با طراحی توابع و زیرساختهای حیاتی با در نظر گرفتن امکانات مختلف فاجعه، انعطافپذیری را افزایش دهد. این میتواند شامل چرخش کارکنان، افزونگی دادهها و حفظ مازاد ظرفیت باشد. اطمینان از انعطافپذیری در برابر سناریوهای مختلف همچنین میتواند به سازمانها کمک کند تا خدمات ضروری را در محل و خارج از سایت بدون وقفه حفظ کنند.
بازیابی سریع برای بازگرداندن عملکردهای کسب و کار پس از بروز فاجعه بسیار مهم است. تنظیم اهداف زمان بازیابی برای سیستمها، شبکهها یا برنامههای مختلف میتواند به اولویتبندی عناصری که باید ابتدا بازیابی شوند، کمک کند. سایر استراتژیهای بازیابی شامل موجودی منابع، توافق با اشخاص ثالث برای فعالیت شرکت و استفاده از فضاهای تبدیل شده برای عملکردهای مهم مأموریت است.
یک برنامه احتمالی روشهای مختلفی را برای سناریوهای خارجی در نظر گرفته است و میتواند شامل زنجیرهای از فرماندهی باشد که مسئولیتها را در داخل سازمان توزیع میکند. این مسئولیتها میتواند شامل تعویض سختافزار، اجاره فضاهای دفاتر اضطراری، ارزیابی خسارت و فروشندههای شخص ثالث برای کمک باشد.
استانداردهای تداوم کسب و کار
تصویر زیر استانداردهای ISO 223XX Series را نشان میدهد که در مورد تداوم کسب و کار و فعالیتهای مرتبط اعمال میشود. استانداردهای ISO 22398 و ۲۲۳۹۹ نیز ارزش بررسی دارند.
تصویر زیر رهنمودهای عملکرد خوب موسسه تداوم کسب و کار (Business Continuity Institute) را فهرست میکند. این رهنمودها یک پایه و اساس جامع برای درک روند تداوم کسب و کار را فراهم میکنند و با استاندارد ISO 22301 مطابقت دارند.
جدول زیر لیست جزئی از استانداردها، مقررات و روشهای خوب توسعه یافته در ایالات متحده توسط چندین سازمان مختلف مانند ASIS International، انجمن ملی حفاظت در برابر آتش سوزی، شورای بازرسی موسسات مالی فدرال، انجمن حسابرسی و کنترل سیستمهای اطلاعاتی، سازمان تنظیم مقررات صنعت مالی، آژانس مدیریت اضطراری فدرال و انستیتوی ملی استاندارد و فناوری را ارائه میدهد.
تفاوت تداوم کسب و کار با بازیابی فاجعه
برنامهریزی برای بازیابی فاجعه مانند برنامه تداوم کسب و کار، استراتژیهای برنامهریزی شده یک سازمان را برای رویههای پس از شکست مشخص میکند. با این حال، برنامه بازیابی از فاجعه فقط زیرمجموعهای از برنامههای تداوم کسب و کار است.
برنامههای بازیابی از فاجعه غالباً روی دادهها و بر ذخیرهسازی دادهها متمرکز هستند به طوری که پس از بروز فاجعه میتوان به راحتی به آنها دسترسی داشت. تداوم کسب و کار این را در نظر میگیرد، اما همچنین به مدیریت ریسک، نظارت و برنامهریزی سازمان نیاز دارد تا در حین ایجاد اختلال، عملیاتی بماند.
توسعه تداوم کسب و کار
تداوم کسب و کار با شروع پروژه برنامهریزی آغاز میشود. تجزیه و تحلیل تأثیر کسب و کار (BIA) و ارزیابی ریسک گامهای اساسی در جمعآوری اطلاعات برای برنامه هستند.
انجام تجزیه و تحلیل تأثیر کسب و کار میتواند نقاط ضعف احتمالی و همچنین عواقب یک فاجعه را برای بخشهای مختلف آشکار کند. گزارش تجزیه و تحلیل تأثیر کسب و کار سازمان را از مهمترین کارکردها و سیستمها جهت اولویتبندی در برنامه تداوم کسب و کار آگاه میکند.
ارزیابی ریسک، ریسکهای احتمالی پیش روی سازمان را نشان میدهد؛ مانند بلایای طبیعی، حملات سایبری یا خرابیهای فناوری. ریسکها میتوانند بر کارکنان، مشتریان، عملیات ساختمان و اعتبار شرکت تأثیر بگذارند. ارزیابی همچنین جزئیات اینکه چه ریسکهایی ممکن است آسیب برسانند و احتمال وقوع آنها را بیان میکند.
تجزیه و تحلیل تأثیر کسب و کار و ارزیابی ریسک دست به دست هم میدهند. تجزیه و تحلیل تأثیر کسب و کار جزئیات مربوط به اثرات احتمالی را در مورد اختلالات احتمالی ذکر شده در ارزیابی ریسک ارائه میدهد.
مدیریت تداوم کسب و کار
تعیین اینکه چه کسی تداوم کسب و کار را مدیریت خواهد کرد مهم است. اگر کسب و کار کوچک باشد، یک نفر و در کسب و کارهای بزرگتر، یک تیم میتواند این مسئولیت را متقبل شود. نرمافزار مدیریت تداوم کسب و کار نیز یک گزینه است. نرمافزار (اعم از محوطهای یا مبتنی بر ابر) به انجام تجزیه و تحلیل تأثیر کسب و کار، ایجاد و به روزرسانی برنامهها و مشخص کردن مناطق ریسک کمک میکند.
تداوم کسب و کار فرآیندی در حال تکامل است. به همین ترتیب، برنامه تداوم کسب و کار سازمان نباید کنار گذاشته شود. سازمان باید محتوای خود را تا آنجا که ممکن است به افراد اعلام کند. اجرای تداوم کسب و کار فقط برای مواقع بحرانی نیست. سازمان باید تمرینات آموزشی داشته باشد، تا کارکنان بدانند در صورت بروز اختلال واقعی باید چه کاری انجام دهند.
آزمایش تداوم کسب و کار برای موفقیت آن حیاتی است. دانستن اینکه آیا برنامهای آزمایش شده است یا خیر، دشوار میباشد. آزمون تداوم کسب و کار میتواند به سادگی یک تمرین رومیزی باشد، که کارکنان در مورد آنچه در شرایط اضطراری اتفاق میافتد بحث میکنند. آزمایش دقیقتر شامل یک شبیهسازی اضطراری کامل است. سازمان میتواند آزمون را از قبل برنامهریزی کند یا آن را بدون اطلاع قبلی انجام دهد تا بهتر حس بحران را منتقل سازد.
هنگامی که سازمان آزمون را به پایان رساند، باید نحوه کار خود را بررسی کند و برنامه را بر اساس آن به روز نماید. این احتمال وجود دارد که برخی از قسمتهای برنامه به خوبی پیش بروند اما سایر اقدامات نیاز به تعدیل داشته باشند. یک برنامه منظم برای آزمایش مفید است، به ویژه اگر کسب و کار به طور مکرر فعالیت و کارکنان خود را تغییر دهد. تداوم جامع کسب و کار تحت آزمایش، بررسی و به روزرسانی مداوم قرار میگیرد.
موسسه تداوم کسب و کار
موسسه تداوم کسب و کار (BCI) یک سازمان حرفهای جهانی است که آموزش، تحقیقات، اعتبارسنجی حرفهای، گواهینامه، فرصتهای شبکه، رهبری و راهنمایی در مورد تداوم کسب و کار و تابآوری سازمانی را ارائه میدهد.
موسسه تداوم کسب و کار که در انگلستان مستقر است، در سال ۱۹۹۴ تأسیس شد و حدود ۸۰۰۰ عضو در بیش از ۱۰۰ کشور در بخشهای دولتی و خصوصی در آن حضور دارند. متخصصان تداوم کسب و کار و علاقهمندان به این حوزه میتوانند از محصولات و خدمات موجود در این موسسه استفاده کنند.
اهداف و کارهای موسسه تداوم کسب و کار شامل بالا بردن استانداردهای تداوم کسب و کار، به اشتراکگذاری بهترین شیوههای تداوم کسب و کار، آموزش و تأیید صلاحیت متخصصان این زمینه، بالا بردن ارزش حرفه تداوم کسب و کار و توسعه پرونده تجاری برای تداوم کسب و کار است.
بسیاری از منابع منتشر شده این موسسه شامل رهنمودهای عملکرد خوب آن است که راهنمایی برای شناسایی فعالیتهای تداوم کسب و کار ارائه میدهد و میتواند از برنامهریزی استراتژیک پشتیبانی کند.
عضویت حرفهای در موسسه تداوم کسب و کار وضعیت شناختهشده بینالمللی را منتقل میکند: داشتن گواهینامه مهارت یک عضو در مدیریت تداوم کسب و کار را نشان میدهد.
شعبههای موسسه تداوم کسب و کار در کشورها یا مناطقی تأسیس شده است که تعداد زیادی از اعضا در آن وجود دارد. این بخشها شامل ایالات متحده، ژاپن و هند است. در آنها افسران محلی انتخاب شدهاند که نماینده موسسه تداوم کسب و کار در منطقه خود هستند.
نمونه تداوم کسب و کار
طی چند سال گذشته حملات باج افزار زیادی اتفاق افتاده است. اما آنچه برجسته است حمله باج افزار SamSam در مارس ۲۰۱۸ به شهر آتلانتا بود.
این حمله باعث خراب شدن سیستمهای رایانهای دولت شهر شد و خدمات بیشماری از جمله سوابق پلیس، دادگاهها، تاسیسات، خدمات پارکینگ و سایر برنامهها را مختل کرد. سیستمهای رایانهای به مدت ۵ روز خاموش شدند و بسیاری از بخشها مجبور بودند کارهای اصلی را به صورت دستی انجام دهند. حتی بعد از آن که خدمات به آهستگی بصورت آنلاین بازگردانده شدند، بهبودی کامل ماهها طول کشید.
مهاجمان خواستار پرداخت ۵۲ هزار دلار باج شدند. اما هنگامی که ماجرا به پایان رسید، پیش بینی میشد که تأثیر کامل این حمله بیش از ۱۷ میلیون دلار باشد. تقریباً ۳ میلیون دلار صرف قراردادهای مشاوران اضطراری فناوری اطلاعات و شرکتهای مدیریت بحران شد.
حمله باجافزار آتلانتا درسی در مورد برنامهریزی ناکافی برای تداوم کسب و کار است. این رویداد نشان داد که IT شهر به طرز ناگواری برای حمله آماده نیست. فقط دو ماه قبل، یک ممیزی ۱۵۰۰ تا ۲۰۰۰ آسیبپذیری را در سیستمهای IT شهر پیدا کرد که با “نرمافزار منسوخ شده و فرهنگ فناوری اطلاعات ناشی از فرایندهای موقت یا غیر مستند” افزایش یافته است.
کدام آسیبپذیریها اجازه حمله را دادهاند؟ به احتمال زیاد رمزهای عبور ضعیف بودهاند. این یک نقطه ورود معمول برای مهاجمان SamSam است، که با استفاده از نرمافزار brute-force هزاران ترکیب رمزعبور را در عرض چند ثانیه حدس میزنند. صادقانه بگوییم، این یک روش پیچیده است که میتوان با پروتکلهای مدیریت رمزعبور قویتر از آن جلوگیری کرد.
علی رغم گامهای اشتباه در تداوم کسب و کار، باید از متخصصان فناوری اطلاعات (داخلی و خارجی) که برای بازگرداندن خدمات مهم شهر در اسرع وقت تلاش میکنند، قدردانی شود. واضح است که این شهر برخی روشهای بازیابی فاجعه را در اختیار دارد که به آن امکان میدهد خدمات مهم را بازیابی کند. اگر اینگونه نبود، احتمالاً واقعه نتایج بدتری را رقم میزد.