تداوم کسب و کار چیست و چه اهمیتی دارد؟

تداوم کسب و کار به معنای توانایی سازمان برای حفظ عملکردهای اساسی در حین وقوع یک فاجعه است. برنامه‌ریزی تداوم کسب و کار فرآیندها و رویه‌های مدیریت ریسک را تعیین می‌کند که هدف آن‌ها جلوگیری از ایجاد وقفه در سرویس‌های مهم مأموریت و ایجاد عملکرد کامل در سازمان به سریع‌ترین و آرام‌ترین شکل ممکن است.

اساسی‌ترین نیاز به تداوم کسب و کار این است که عملکردهای اساسی را در هنگام بروز یک فاجعه فعال نگه دارید و در کمترین زمان ممکن از کار بیفتید. برنامه تداوم کسب و کار، حوادث مختلف غیرقابل پیش‌بینی مانند بلایای طبیعی، آتش‌سوزی، شیوع بیماری، حملات سایبری و سایر تهدیدات خارجی را در نظر می‌گیرد.

تداوم کسب و کار برای سازمان‌ها از هر اندازه مهم است، اما ممکن است برای بزرگ‌ترین شرکت‌ها حفظ همه توابع در طول یک فاجعه عملی نباشد. به گفته بسیاری از کارشناسان، اولین قدم در برنامه‌ریزی تداوم کسب و کار تصمیم‌گیری در مورد کارکردهای اساسی و تخصیص بودجه موجود بر این اساس است. پس از شناسایی مولفه‌های مهم، مدیران می‌توانند سازوکارهای خرابی را به کار گیرند.

فناوری‌هایی مانند آینه‌سازی دیسک، سازمان را قادر می‌سازد نسخه‌های به روز داده‌ها را در مکان‌های پراکنده از نظر جغرافیایی، نه فقط در مرکز داده اولیه نگهداری کند. این امکان را فراهم می‌کند تا در صورت غیرفعال بودن یک مکان، دسترسی به داده بدون وقفه ادامه داشته باشد و در برابر از بین رفتن اطلاعات محافظت کند.

چرا تداوم کسب و کار مهم است؟

در زمانی که خرابی غیرقابل قبول است، تداوم کار بسیار حیاتی می‌باشد. زمان خرابی از منابع مختلفی تأمین می‌شود. به نظر می‌رسد برخی تهدیدها مانند حملات سایبری و تغییرات آب و هوایی در حال بدتر شدن است. تهیه یک برنامه تداوم کسب و کار که هر گونه اختلال احتمالی در فعالیت‌ها را در نظر بگیرد، از اهمیت بالایی برخوردار می‌باشد.

این طرح باید سازمان را قادر سازد تا در شرایط بحرانی در حداقل سطح فعالیت خود را ادامه دهد. تداوم کسب و کار به سازمان کمک می‌کند تا در پاسخ سریع به وقفه، انعطاف‌پذیری را حفظ کند. تداوم کسب و کار قوی موجب صرفه‌جویی در هزینه، وقت و اعتبار شرکت می‌شود. قطع طولانی باعث از بین رفتن مالی، شخصی و اعتبار می‌گردد.

تداوم کسب و کار مستلزم آن است که سازمان نگاهی به خود بیندازد، نقاط بالقوه ضعف را تجزیه و تحلیل کرده و اطلاعات کلیدی را جمع‌آوری کند؛ مانند لیست‌های تماس و نمودارهای فنی سیستم‌ها که می‌تواند در خارج از شرایط فاجعه مفید باشد. در انجام فرایند برنامه‌ریزی تداوم کسب و کار، سازمان می‌تواند ارتباطات، فناوری و انعطاف‌پذیری خود را بهبود بخشد.

تداوم کسب و کار حتی ممکن است به دلایل قانونی یا انطباق مورد نیاز باشد. به ویژه در دوره افزایش مقررات، مهم است که درک کنیم کدام مقررات بر یک سازمان خاص تأثیر می‌گذارد.

تداوم کسب و کار شامل چه مواردی است؟

تداوم کسب و کار یک روش پیشگیرانه برای اطمینان از ادامه عملیات حیاتی ماموریت در هنگام ایجاد اختلال است. یک طرح جامع شامل اطلاعات تماس، مراحلی برای کارهایی که باید در هنگام مواجه شدن با حوادث مختلف انجام شود و راهنمای استفاده از سند است.

تداوم کسب و کار دارای رهنمودهای مشخصی است که سازمان باید برای حفظ فعالیت خود انجام دهد. اگر زمان پاسخ فرا برسد، نباید در مورد چگونگی پیشبرد فرآیندهای کسب و کار سوالی وجود داشته باشد. شرکت، مشتریان و کارمندان به طور بالقوه در معرض خطر هستند.

تداوم مناسب کسب و کار شامل سطوح مختلفی از پاسخ است. همه چیز برای انجام مأموریت حیاتی نیست، بنابراین باید مشخص شود که چه عملیاتی باید ادامه پیدا کند و اینکه چه چیزی می‌تواند دوباره به صورت آنلاین بازگردد. صادق بودن در مورد اهداف زمان بازیابی و اهداف نقطه بازیابی بسیار مهم است.

این فرایند کل سازمان، از مدیریت اجرایی به پایین را در بر می‌گیرد. اگرچه فناوری اطلاعات ممکن است موجب تداوم کسب و کار شود، اما خرید از مدیریت و انتقال اطلاعات کلیدی به کل سازمان ضروری است. یکی دیگر از زمینه‌های مهم همکاری با تیم امنیتی می‌باشد؛ اگرچه این دو گروه غالباً جداگانه کار می‌کنند، اما سازمان می‌تواند با به اشتراک گذاشتن اطلاعات در این بخش‌ها سودهای زیادی کسب کند. حداقل، همه باید مراحل اساسی نحوه برنامه‌ریزی سازمان برای پاسخگویی را بدانند.

سه مولفه اصلی برنامه تداوم کسب و کار

برنامه تداوم کسب و کار دارای سه عنصر اساسی است: انعطاف‌پذیری، بازیابی و احتیاط.

سازمان می‌تواند با طراحی توابع و زیرساخت‌های حیاتی با در نظر گرفتن امکانات مختلف فاجعه، انعطاف‌پذیری را افزایش دهد. این می‌تواند شامل چرخش کارکنان، افزونگی داده‌ها و حفظ مازاد ظرفیت باشد. اطمینان از انعطاف‌پذیری در برابر سناریوهای مختلف همچنین می‌تواند به سازمان‌ها کمک کند تا خدمات ضروری را در محل و خارج از سایت بدون وقفه حفظ کنند.

بازیابی سریع برای بازگرداندن عملکردهای کسب و کار پس از بروز فاجعه بسیار مهم است. تنظیم اهداف زمان بازیابی برای سیستم‌ها، شبکه‌ها یا برنامه‌های مختلف می‌تواند به اولویت‌بندی عناصری که باید ابتدا بازیابی شوند، کمک کند. سایر استراتژی‌های بازیابی شامل موجودی منابع، توافق با اشخاص ثالث برای فعالیت شرکت و استفاده از فضاهای تبدیل شده برای عملکردهای مهم مأموریت است.

یک برنامه احتمالی روش‌های مختلفی را برای سناریوهای خارجی در نظر گرفته است و می‌تواند شامل زنجیره‌ای از فرماندهی باشد که مسئولیت‌ها را در داخل سازمان توزیع می‌کند. این مسئولیت‌ها می‌تواند شامل تعویض سخت‌افزار، اجاره فضاهای دفاتر اضطراری، ارزیابی خسارت و فروشنده‌های شخص ثالث برای کمک باشد.

استانداردهای تداوم کسب و کار

تصویر زیر استانداردهای ISO 223XX Series را نشان می‌دهد که در مورد تداوم کسب و کار و فعالیت‌های مرتبط اعمال می‌شود. استانداردهای ISO 22398 و ۲۲۳۹۹ نیز ارزش بررسی دارند.

تصویر زیر رهنمودهای عملکرد خوب موسسه تداوم کسب و کار (Business Continuity Institute) را فهرست می‌کند. این رهنمودها یک پایه و اساس جامع برای درک روند تداوم کسب و کار را فراهم می‌کنند و با استاندارد ISO 22301 مطابقت دارند.

جدول زیر لیست جزئی از استانداردها، مقررات و روش‌های خوب توسعه یافته در ایالات متحده توسط چندین سازمان مختلف مانند ASIS International، انجمن ملی حفاظت در برابر آتش سوزی، شورای بازرسی موسسات مالی فدرال، انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی، سازمان تنظیم مقررات صنعت مالی، آژانس مدیریت اضطراری فدرال و انستیتوی ملی استاندارد و فناوری را ارائه می‌دهد.

تفاوت تداوم کسب و کار با بازیابی فاجعه

برنامه‌ریزی برای بازیابی فاجعه مانند برنامه تداوم کسب و کار، استراتژی‌های برنامه‌ریزی شده یک سازمان را برای رویه‌های پس از شکست مشخص می‌کند. با این حال، برنامه بازیابی از فاجعه فقط زیرمجموعه‌ای از برنامه‌های تداوم کسب و کار است.

برنامه‌های بازیابی از فاجعه غالباً روی داده‌ها و بر ذخیره‌سازی داده‌ها متمرکز هستند به طوری که پس از بروز فاجعه می‌توان به راحتی به آن‌ها دسترسی داشت. تداوم کسب و کار این را در نظر می‌گیرد، اما همچنین به مدیریت ریسک، نظارت و برنامه‌ریزی سازمان نیاز دارد تا در حین ایجاد اختلال، عملیاتی بماند.

توسعه تداوم کسب و کار

تداوم کسب و کار با شروع پروژه برنامه‌ریزی آغاز می‌شود. تجزیه و تحلیل تأثیر کسب و کار (BIA) و ارزیابی ریسک گام‌های اساسی در جمع‌آوری اطلاعات برای برنامه هستند.

انجام تجزیه و تحلیل تأثیر کسب و کار می‌تواند نقاط ضعف احتمالی و همچنین عواقب یک فاجعه را برای بخش‌های مختلف آشکار کند. گزارش تجزیه و تحلیل تأثیر کسب و کار سازمان را از مهم‌ترین کارکردها و سیستم‌ها جهت اولویت‌بندی در برنامه تداوم کسب و کار آگاه می‌کند.

ارزیابی ریسک، ریسک‌های احتمالی پیش روی سازمان را نشان می‌دهد؛ مانند بلایای طبیعی، حملات سایبری یا خرابی‌های فناوری. ریسک‌ها می‌توانند بر کارکنان، مشتریان، عملیات ساختمان و اعتبار شرکت تأثیر بگذارند. ارزیابی همچنین جزئیات اینکه چه ریسک‌هایی ممکن است آسیب برسانند و احتمال وقوع آن‌ها را بیان می‌کند.

تجزیه و تحلیل تأثیر کسب و کار و ارزیابی ریسک دست به دست هم می‌دهند. تجزیه و تحلیل تأثیر کسب و کار جزئیات مربوط به اثرات احتمالی را در مورد اختلالات احتمالی ذکر شده در ارزیابی ریسک ارائه می‌دهد.

مدیریت تداوم کسب و کار

تعیین اینکه چه کسی تداوم کسب و کار را مدیریت خواهد کرد مهم است. اگر کسب و کار کوچک باشد، یک نفر و در کسب و کارهای بزرگ‌تر، یک تیم می‌تواند این مسئولیت را متقبل شود. نرم‌افزار مدیریت تداوم کسب و کار نیز یک گزینه است. نرم‌افزار (اعم از محوطه‌ای یا مبتنی بر ابر) به انجام تجزیه و تحلیل تأثیر کسب و کار، ایجاد و به روزرسانی برنامه‌ها و مشخص کردن مناطق ریسک کمک می‌کند.

تداوم کسب و کار فرآیندی در حال تکامل است. به همین ترتیب، برنامه تداوم کسب و کار سازمان نباید کنار گذاشته شود. سازمان باید محتوای خود را تا آنجا که ممکن است به افراد اعلام کند. اجرای تداوم کسب و کار فقط برای مواقع بحرانی نیست. سازمان باید تمرینات آموزشی داشته باشد، تا کارکنان بدانند در صورت بروز اختلال واقعی باید چه کاری انجام دهند.

آزمایش تداوم کسب و کار برای موفقیت آن حیاتی است. دانستن اینکه آیا برنامه‌ای آزمایش شده است یا خیر، دشوار می‌باشد. آزمون تداوم کسب و کار می‌تواند به سادگی یک تمرین رومیزی باشد، که کارکنان در مورد آنچه در شرایط اضطراری اتفاق می‌افتد بحث می‌کنند. آزمایش دقیق‌تر شامل یک شبیه‌سازی اضطراری کامل است. سازمان می‌تواند آزمون را از قبل برنامه‌ریزی کند یا آن را بدون اطلاع قبلی انجام دهد تا بهتر حس بحران را منتقل سازد.

هنگامی که سازمان آزمون را به پایان رساند، باید نحوه کار خود را بررسی کند و برنامه را بر اساس آن به روز نماید. این احتمال وجود دارد که برخی از قسمت‌های برنامه به خوبی پیش بروند اما سایر اقدامات نیاز به تعدیل داشته باشند. یک برنامه منظم برای آزمایش مفید است، به ویژه اگر کسب و کار به طور مکرر فعالیت و کارکنان خود را تغییر دهد. تداوم جامع کسب و کار تحت آزمایش، بررسی و به روزرسانی مداوم قرار می‌گیرد.

موسسه تداوم کسب و کار

موسسه تداوم کسب و کار (BCI) یک سازمان حرفه‌ای جهانی است که آموزش، تحقیقات، اعتبارسنجی حرفه‌ای، گواهینامه، فرصت‌های شبکه، رهبری و راهنمایی در مورد تداوم کسب و کار و تاب‌آوری سازمانی را ارائه می‌دهد.

موسسه تداوم کسب و کار که در انگلستان مستقر است، در سال ۱۹۹۴ تأسیس شد و حدود ۸۰۰۰ عضو در بیش از ۱۰۰ کشور در بخش‌های دولتی و خصوصی در آن حضور دارند. متخصصان تداوم کسب و کار و علاقه‌مندان به این حوزه می‌توانند از محصولات و خدمات موجود در این موسسه استفاده کنند.

اهداف و کارهای موسسه تداوم کسب و کار شامل بالا بردن استانداردهای تداوم کسب و کار، به اشتراک‌گذاری بهترین شیوه‌های تداوم کسب و کار، آموزش و تأیید صلاحیت متخصصان این زمینه، بالا بردن ارزش حرفه تداوم کسب و کار و توسعه پرونده تجاری برای تداوم کسب و کار است.

بسیاری از منابع منتشر شده این موسسه شامل رهنمودهای عملکرد خوب آن است که راهنمایی برای شناسایی فعالیت‌های تداوم کسب و کار ارائه می‌دهد و می‌تواند از برنامه‌ریزی استراتژیک پشتیبانی کند.

عضویت حرفه‌ای در موسسه تداوم کسب و کار وضعیت شناخته‌شده بین‌المللی را منتقل می‌کند: داشتن گواهینامه مهارت یک عضو در مدیریت تداوم کسب و کار را نشان می‌دهد.

شعبه‌های موسسه تداوم کسب و کار در کشورها یا مناطقی تأسیس شده است که تعداد زیادی از اعضا در آن وجود دارد. این بخش‌ها شامل ایالات متحده، ژاپن و هند است. در آن‌ها افسران محلی انتخاب شده‌اند که نماینده موسسه تداوم کسب و کار در منطقه خود هستند.

نمونه تداوم کسب و کار

طی چند سال گذشته حملات باج افزار زیادی اتفاق افتاده است. اما آنچه برجسته است حمله باج افزار SamSam در مارس ۲۰۱۸ به شهر آتلانتا بود.

این حمله باعث خراب شدن سیستم‌های رایانه‌ای دولت شهر شد و خدمات بی‌شماری از جمله سوابق پلیس، دادگاه‌ها، تاسیسات، خدمات پارکینگ و سایر برنامه‌ها را مختل کرد. سیستم‌های رایانه‌ای به مدت ۵ روز خاموش شدند و بسیاری از بخش‌ها مجبور بودند کارهای اصلی را به صورت دستی انجام دهند. حتی بعد از آن که خدمات به آهستگی بصورت آنلاین بازگردانده شدند، بهبودی کامل ماه‌ها طول کشید.

مهاجمان خواستار پرداخت ۵۲ هزار دلار باج شدند. اما هنگامی که ماجرا به پایان رسید، پیش بینی می‌شد که تأثیر کامل این حمله بیش از ۱۷ میلیون دلار باشد. تقریباً ۳ میلیون دلار صرف قراردادهای مشاوران اضطراری فناوری اطلاعات و شرکت‌های مدیریت بحران شد.

حمله باج‌افزار آتلانتا درسی در مورد برنامه‌ریزی ناکافی برای تداوم کسب و کار است. این رویداد نشان داد که IT شهر به طرز ناگواری برای حمله آماده نیست. فقط دو ماه قبل، یک ممیزی ۱۵۰۰ تا ۲۰۰۰ آسیب‌پذیری را در سیستم‌های IT شهر پیدا کرد که با “نرم‌افزار منسوخ شده و فرهنگ فناوری اطلاعات ناشی از فرایندهای موقت یا غیر مستند” افزایش یافته است.

کدام آسیب‌پذیری‌ها اجازه حمله را داده‌اند؟ به احتمال زیاد رمزهای عبور ضعیف بوده‌اند. این یک نقطه ورود معمول برای مهاجمان SamSam است، که با استفاده از نرم‌افزار brute-force هزاران ترکیب رمزعبور را در عرض چند ثانیه حدس می‌زنند. صادقانه بگوییم، این یک روش پیچیده است که می‌توان با پروتکل‌های مدیریت رمزعبور قوی‌تر از آن جلوگیری کرد.

علی رغم گام‌های اشتباه در تداوم کسب و کار، باید از متخصصان فناوری اطلاعات (داخلی و خارجی) که برای بازگرداندن خدمات مهم شهر در اسرع وقت تلاش می‌کنند، قدردانی شود. واضح است که این شهر برخی روش‌های بازیابی فاجعه را در اختیار دارد که به آن امکان می‌دهد خدمات مهم را بازیابی کند. اگر اینگونه نبود، احتمالاً واقعه نتایج بدتری را رقم می‌زد.