چگونه برای تهدیدهای «نامتقارن» پیشبینینشده آماده میشوید؟
برنامهریزی برای اتفاقات غیرمنتظره
(در یک تحقیق مرکز مشاوره PwC در سال ۲۰۱۸ در میان مدیران اجرایی برای مدیریت بحران، ۷۳ درصد از افراد اعلام کردند که انتظار دارند طی ۳ سال آینده حداقل یک بحران را تجربه کنند.) همانطور که میدانید، مقابله با یک بحران آسانتر و ارزانتر از تلاش برای درست کردن خرابیهای پس از رخ دادن آن است. با وجود همه زمان و پولی که صرف جلوگیری از بحران شده است، شرکتها و جوامع هنوز هم با حوادث وحشتناکی غافلگیر میشوند که گاهی به واسطه یک غفلت روی میدهند. بهعنوان مثال، به عواملی که بر آمادگی برای دو اتفاق شناختهشده در دهه اخیر تاثیر گذاشتهاند توجه کنید:
• زمانی که توفان ماریا، قدرتمندترین توفان پورتوریکو در یک قرن گذشته، رخ داد، مشخص بود که فرآیند نجات و بازسازی دشوار خواهد بود. اما شرایط آبوهوایی غیرمحتمل فصلی که این توفان روی داد باعث تشدید این بحران شد. ماه قبل از آن، توفان هاروی در تگزاس و لوئیزیانا اتفاق افتاد و توفان ایرما بخشهای زیادی از فلوریدا را تخریب کرد. این توفان آژانسهای امداد و نجات را بسیار خسته و فشار زیادی را به آنها تحمیل کرد.
با نگاهی به گذشته، دلیل عادی بروز یک بحران، یعنی اینکه چگونه یک بحران باعث بحران بعدی و بحرانهای دیگر میشود، معمولا مشخص است. این بدان معنی نیست که بحران میتواند به راحتی قابل پیشبینی باشد، چه رسد به آنکه قابل پیشگیری هم باشد. ترکیب فاکتورهای دخیل، سطح بالایی از عدمتقارن (asymmetry) برای یک حادثه ایجاد میکند که عبارت است از: احتمال ظاهرا پایین حادثه در مقابل هزینه بالای آمادگی برای آن حادثه و هزینههای گزاف و خرابیهای پس از وقوع آن. (عبارت نظامی تهدید نامتقارن (asymmetric threat)، که اشاره به حملات گروههای کوچک در کشورهای بزرگ دارد، یکی از انواع حوادث نامتقارنی است که در این مقاله توضیح داده شد.)
اکثر بلایا جنبههای نامتقارنی دارند. اغلب اوقات خرابیها آنگونه که مردم میپندارند، رخ نمیدهد: امکان ردیابی همه فاکتورها یا پیشبینی چگونگی ترکیب آنها وجود ندارد. مثلا در آتشسوزیهای مهیب و مخرب، نحوه فعل و انفعال عواملی مانند سرعت باد، مواد موجود در میان بوتهها و میزان دما در شب، برای فیزیکدانان روشن نیست و این باعث غیرقابل پیشبینی بودن آتشسوزی میشود. در دیگر بلایای طبیعی، مسیرهای فرار میتواند بهصورت غیرمنتظرهای بسته شود؛ همانطور که در ماه مه ۲۰۱۸ در جریان فوران آتشفشان کیلاو در هاوایی این اتفاق روی داد. حتی در تهدیدهای تعمدی، مانند بعضی از حملات سایبری در اوایل سال ۲۰۱۸، اتفاقات غیرمنتظره رخ میدهد. در یک اتفاق پیشبینی نشده، میلیونها روتر وایفای خانگی در ایالات متحده و اروپا هدف قرار گرفته بودند. این ناگهانی بودن حتی برای بحرانهای ژئوپلیتیک، از جمله جنگها نیز درست است. بهعنوان مثال، در اواخر سال ۲۰۱۸، بسیاری از شرکتهای بزرگ بدون شک برنامههای احتیاطی برای جنگ تجاری بین چین و آمریکا دارند. آنها میدانند که رخدادهایی مانند این غیرمحتمل هستند؛ اما اگر رخ دهند، میتوانند اثرات جهانی و در مقیاسی وسیع داشته باشند.
اکوسیستمهای تهدید و فراآمادگی (Meta-Readiness ) برای آنها
گرچه زمان، مکان و اثرات دقیق این رخدادها نمیتواند پیشبینی شود؛ اما «میتوان» برای چنین رخدادهایی آمادگی بهتری ایجاد کرد. این کار نیاز به یک تغییر فکر اساسی از تمرکز بر مبارزه با تهدیدهای خاص به یک نگرش مستقل از تهدید (threat-agnostic) دارد. وقتی این نگرش را اخذ میکنید، روی آن چیزی تمرکز میکنید که فراآمادگی (meta-readiness) نامیده میشود: آمادگی توانایی درونیتان برای کنترل هر نوع بحرانی که اتفاق میافتد. شما توانایی برای تشخیص قریبالوقوع بودن یک بحران، واکنش سریع و موثر به آن و انجام کارهایی که در آن لحظه مورد نیاز است را با انعطافپذیری و آگاهی توسعه میدهید.
بهطور خلاصه، شما توانمندیهایی را برای مدیریت هرجومرجها ایجاد میکنید که هرگونه تحول در مقیاس بزرگ را به دنبال دارد.
حداقل سه طبقه وسیع از تهدیدهای نامتقارن وجود دارد:
• زیرساخت محافظت نشده
• تکنولوژی آسیبپذیر
• دستکم گرفتن بلایا
زیرساخت محافظت نشده: یک بلای طبیعی یا یک حمله تروریستی میتواند یک عملیات اجرای سیستمی و کارآیی زیرساخت بزرگ مقیاس را تقلیل دهد. این موضوع میتواند شامل سیستمهای عمومی حملونقل و شبکه برق یا سیستمهای خصوصی مانند بنادر تجاری و صرافیهای ارزی باشد. همچنین اغلب تنظیمات و مقررات قانونی که برای حفاظت از این زیرساختها استفاده میشوند، آسیبپذیر هستند. این سیستمها که جامعه به آنها وابسته است، نشان دادهاند که نسبت به چنین ترکیب پیچیدهای از عوامل که سازمانها و دولتها برای تشخیص آن باید تلاش زیادی کنند، آسیبپذیرند. با فرض منابع محدود، کسبوکارها برای ریسکهایی که در پیشرو میبینند آماده میشوند و دولتها مقرراتی را وضع میکنند. ولی اغلب، روی ریسکهای واقعی تمرکز نمیشود.
بهعنوان مثال، توفان ماریا در پورتوریکو ساکنان آن را به مدت ۱۰ ماه بدون برق گذاشت. ورای هزینههای اقتصادی مستقیم و مهم یک شکست بزرگ-مقیاس در شبکه، یک خسارت میتواند به دیگر نقاط مهم زیرساخت یک ناحیه سرایت کند. بدون دسترسی آسان به منبع الکتریکی، تقریبا همه چیز دیر یا زود به هم میریزد. مانند شبکه بانکی، شبکه اینترنت، بازار سهام، منابع آبی، منابع غذایی، فاضلاب، جادهها، بیمارستانها، عملیات نظامی، سوخت و کنترل ترافیک هوایی.
تکنولوژی آسیبپذیر: وابستگی جامعه به اینترنت (و بهطور فزایندهای وابستگی به اشیای متصل به اینترنت در تکنولوژی اینترنت اشیا) باعث آسیبپذیری زیاد نسبت به تهدیدهای نامتقارن میشود.وقتی شرکتها بیشتر و بیشتر فعالیتهای خود را به سیستمهای خودکار میسپارند، این انتظار را دارند که این تکنولوژی همواره همانطور که طراحی شده است کار کند. این انتظار تبدیل به یک پاشنه آشیل میشود؛ یعنی یک آسیبپذیری که ادامه خواهد یافت تا توسط هکرها و دولتها استثمار شود. و این احتمالات به نفع آنهاست: در مقایسه با پیشگیری با دیجیتالیترین تکنولوژی، هزینههای خرابکاری بسیار کمتر و نرخ بازگشت سرمایه به مراتب بزرگتر خواهد بود. حتی مکانیزمهایی با تکنولوژی و منابع اندک مانند باجافزار مورد استفاده در یکی از بازارهای زیرزمینی تبهکاران سایبری با نام Dark Web میتواند تکنولوژی اولیه را که هر فعالیت سازمان را بهطور مجازی تقویت میکند مختل سازد.
تاثیر مخرب سرقت سایبری و سرقت هویتی مکرر، به سطوح مصرفکنندگان نیز سرایت میکند و تبدیل به یک حقیقت تلخ و همیشگی در زندگی میشود. یک تحقیق PwC در سال ۲۰۱۷ در سطح مصرفکنندگان روی امنیت سایبری نشان میدهد تنها ۱۰ درصد از مصرفکنندگان احساس میکنند که کنترل کاملی بر اطلاعات شخصی خود دارند و اعتماد مصرفکنندگان نسبت به کسبوکارها و نیز نسبت به دولت درباره حفاظت از اطلاعات شخصیشان در حال افول است. در ضمن، کسبوکارها در تلاش هستند تا توازن مناسبی بین رخنههای پنهان و ارسال بیش از حد هشدارهای امنیتی به مصرفکنندگان بیابند. ابعاد و تعدد این گونه تهدیدها آن چنان هراسانگیز است که میتواند افراد و سازمانها را بیتفاوت کند. یعنی دچار یک نوع انفعال میشوند که میزان مقاومت آنها در برابر آسیبهای بعدی را کاهش میدهد.
دستکم گرفتن بلایا: گاهی بدترین سناریوی ممکن رخ میدهد. بهطور نمونه، انسانها علیه پیشبینی و جلوگیری از آن سوگیری داشته باشند. معمولترین سناریو در این دستهبندی یک تهدید بالقوه است که رهبران سازمانی از یک- بهعنوان مثال- بلای طبیعی مانند توفان، سیل، خشکسالی، زلزله، سونامی یا آتشسوزی که دستکم گرفتن صدمات آن آسان است، آگاهی دارند. در عین حال، ممکن است رهبران سازمانی ظرفیت خود را برای مدیریت این رخدادها بیش از حد قلمداد کنند. این درک رهبر سازمانی خودش بزرگترین ریسک را ایجاد میکند.
در مارس ۲۰۱۱، زمانی که زلزله و سونامی ۹ ریشتری توهوکو در نزدیکی فوکوشیما، در ژاپن، رخ داد، در وهله اول قابل کنترل به نظر میآمد. اما موارد دیگری در نزدیکی نیروگاه هستهای دایچی وجود داشت. این موارد عبارت بودند از نگرانیهای قضایی و موانع فرهنگی شفافسازی که باعث ایجاد مشکل در مخابره اطلاعات واضح برای مثال درباره مسیرهای تخلیه میشد؛ مورد دیگر یک ساختار سلسلهمراتبی سخت که از دفتر نخستوزیر آغاز میشد و باعث تحمیل تصمیمگیری میشد؛ مورد بعدی دستورالعملهای امنیتی و آمادهسازیهای نامناسب و همچنین سیستمهای تکنولوژیک بود که شامل سیستمهای سردکننده پشتیبان بر پایه ژنراتورهای دیزلی بود که از کار افتاده بودند. این عوامل به همراه تصمیم به تاسیس نیروگاه در یک موقعیت نامناسب، منجر به بحرانی بزرگ شد و به گفته رئیس کمیسیون بررسی مستقل حادثه هستهای فوکوشیما، یک بلای ساخت دست بشر که میتوانست و باید پیشبینی شده و از آن جلوگیری میشد. تراژدی فوکوشیما درسهای مهمی از مدیریت بحران برای سایرین به همراه داشت.
پذیرش نگرش فراآمادگی
جلوگیری از تهدیدهای نامتقارن غیرقابل پیشبینی و بسیار پرهزینه است. هیچکس منابع برای آمادگی در برابر هر رخداد احتمالی را ندارد. اما این به معنای درماندگی شما نیست. ایجاد دستهبندیهای گسترده پاسخ به تهدید نسبت به توسعه پاسخ دقیق به تک تک تهدیدها از اهمیت بیشتری برخوردار است. در حقیقت پذیرش نگرش «مستقل از تهدید» بسیار مهم و کلیدی است. اقداماتی که باید انجام شوند عبارتند از کاهش پیامدهای احتمالی مغایر به یک سطح پایین با طراحی دقیق، تست حساسیت و بهکارگیری یک گروه مستقل از مهاجمان سایبری برای آزمایش میزان آسیب پذیری.
دستورالعملهای کاربردی
ابتدا اطمینان یابید که احتمال مواجهه با یک تهدید وجودی که انتظار آن را نداشتهاید وجود دارد و یکسری اصول پیوسته بهبود پاسخ به بحران ایجاد کنید. یک طرح فراآمادگی که هدف آن آمادگی کلی شما و نه یک آمادگی بحران خاص باشد، بهکارگیرید. اطمینان یابید که مدیرعامل شما (کسی که مسوولیت نهایی مدیریت و پیامدهای بحران را برعهده خواهد داشت) آن را اجرا میکند. دوم اینکه جهان ریسکها را از دریچه سه دسته اصلی تهدید که در این مقاله بیان شد ببینید. بهجای طرحهای جزئی، یک طرح برای هر کدام از این دستهبندیها ایجاد کنید. سوم اینکه برای هر دسته تهدید بزرگتر توانایی پاسخ به تهدید کنونی خود را ارزیابی کنید. یعنی اینکه فرآیندها، روشها، لیست مخاطبان و شماره تلفنهای شما تا چه میزان قابل اتکا هستند؟ تصمیمات حیاتی موردنیاز توسط چه افرادی گرفته خواهد شد؟ چه منابعی نیاز خواهید داشت؟ این منابع کجا هستند؟ با چه سرعت و امنیتی قابل اعمال هستند؟ از تجربیات گذشته چه درسهایی گرفته شده است؟ در صورت امکان آنها را بهصورت مدون گردآوری کنید. بسیاری از سازمانها به سرعت درمییابند که در این مرحله دچار کمبود هستند. این کمبودها را با افزودن ابزارها و تکنولوژیهای کارآمد جبران کنید. سپس مانورهایی برای بحرانهای غیرمنتظره اجرا کنید. (بهعنوان مثال یک مانور که از دید دشمن و بدون اخطار قبلی به تیم مقابل طراحی شده است.) در زمان بزرگترین بحرانها چه کسی تصمیمات کلیدی را میگیرد؟ پس از این مانور، کمبودها را دوباره ارزیابی کنید، منابع در دسترس و منابعی را که باید داشته باشید ارزیابی کنید، میزان کارآیی ابزارها و تیم خود را ارزیابی کنید و برای کنترل بهتر شرایط، نقشها و مسوولیتها را از نو تعریف کنید. سپس برای تکرار و آزمایش راهبردهای جدید یک مانور دیگر ایجاد کنید. چهارم توانایی هوشمندی کسب و کار خود را افزایش دهید. هوشمندی کسب و کار نمیتواند تنها بهعنوان یک وسیله برای اخطار زودهنگام بهکار گرفته شود. بلکه میتواند برای بهینهسازی منابع موجود نیز بهکار رود.
پنجم، بررسی کنید که روشهای داخلی شما چگونه در مقابل تهدیدهای نامتقارن عمل میکند. ریسک فزاینده فعالیتهای اجرایی ناشی از ناکارآمدی کنترلهای ضد رشوهخواری یا دیگر فعالیتهای ضدکلاهبرداری را در نظر بگیرید. نهایتا تواناییهای جاری خود را برای مدیریت بحرانهای نامتقارن پایهریزی کنید. آن قدر این کار را انجام دهید تا همه تیم مدیریتی، حافظه عملکردی مناسبی برای مقابله با یک بحران غیرمنتظره بهدست آورند. سپس آزمایشهای دیگری را بهطور منظم برنامهریزی کنید تا بتوانید اعضای تیم و نیز ابزارها را آماده نگه دارید.
برنامهریزی برای اتفاقات غیرمنتظره
یکی از مزایای پذیرش نگرش «مستقل از تهدید» این است که این نوع نگرش با انعطافپذیری بیشتر از پروتکلهای سخت دفاع میکند که ممکن است بحران را نجات ندهد. (همان طور که مورد فوکوشیما نشان میدهد.) خود فرآیند برنامهریزی شما تنها در شرایط واقعی میتواند بهبود یابد؛ چرا که این فرآیند سازمان را بهجای تفکر در مورد مواجهه با رویدادهای «موردانتظار»، مجبور به تفکر در مورد نحوه مواجهه با رویدادهای «غیرمنتظره» میکند. این فرآیند ( و ظرفیت پاسخگویی به اطلاعات جدید) بسیار مهمتر از تکه کاغذی است که بهعنوان یک برنامه ارائه میشود.
ما بر این باوریم که مدیریت یک شرکت یک مسوولیت قابل اعتماد برای ایجاد فراآمادگی آن و مدیریت تهدیدهای غیرمتقارن بهعنوان یک جنبه کلیدی از نگرش کلی آن برای مدیریت ریسک است. اعتبار شما بهعنوان یک مدیر بستگی به این دارد که چگونه احتمال یک رخداد را پیشبینی کنید و چگونه به خوبی به آن پاسخ دهید.
ارسال نظر