برنامه‌ریزی برای اتفاقات غیرمنتظره

(در یک تحقیق مرکز مشاوره PwC در سال ۲۰۱۸ در میان مدیران اجرایی برای مدیریت بحران، ۷۳ درصد از افراد اعلام کردند که انتظار دارند طی ۳ سال آینده حداقل یک بحران را تجربه کنند.) همان‌طور که می‌دانید، مقابله با یک بحران آسان‌تر و ارزان‌تر از تلاش برای درست کردن خرابی‌های پس از رخ دادن آن است. با وجود همه زمان و پولی که صرف جلوگیری از بحران شده است، شرکت‌ها و جوامع هنوز هم با حوادث وحشتناکی غافلگیر می‌شوند که گاهی به واسطه یک غفلت روی می‌دهند. به‌عنوان مثال، به عواملی که بر آمادگی برای دو اتفاق شناخته‌شده در دهه اخیر تاثیر گذاشته‌اند توجه کنید:

• زمانی که توفان ماریا، قدرتمندترین توفان پورتوریکو در یک قرن گذشته، رخ داد، مشخص بود که فرآیند نجات و بازسازی دشوار خواهد بود. اما شرایط آب‌وهوایی غیرمحتمل فصلی که این توفان روی داد باعث تشدید این بحران شد. ماه قبل از آن، توفان هاروی در تگزاس و لوئیزیانا اتفاق افتاد و توفان ایرما بخش‌های زیادی از فلوریدا را تخریب کرد. این توفان آژانس‌های امداد و نجات را بسیار خسته و فشار زیادی را به آنها تحمیل کرد.

با نگاهی به گذشته، دلیل عادی بروز یک بحران، یعنی اینکه چگونه یک بحران باعث بحران بعدی و بحران‌های دیگر می‌شود، معمولا مشخص است. این بدان معنی نیست که بحران می‌تواند به راحتی قابل ‌پیش‌بینی باشد، چه رسد به آنکه قابل پیشگیری هم باشد. ترکیب فاکتورهای دخیل، سطح بالایی از عدم‌تقارن (asymmetry) برای یک حادثه ایجاد می‌کند که عبارت است از: احتمال ظاهرا پایین حادثه در مقابل هزینه بالای آمادگی برای آن حادثه و هزینه‌های گزاف و خرابی‌های پس از وقوع آن. (عبارت نظامی تهدید نامتقارن (asymmetric threat)، که اشاره به حملات گروه‌های کوچک در کشورهای بزرگ دارد، یکی از انواع حوادث نامتقارنی است که در این مقاله توضیح داده شد.)

اکثر بلایا جنبه‌های نامتقارنی دارند. اغلب اوقات خرابی‌ها آن‌گونه که مردم می‌پندارند، رخ نمی‌دهد: امکان ردیابی همه فاکتورها یا پیش‌بینی چگونگی ترکیب آنها وجود ندارد. مثلا در آتش‌سوزی‌های مهیب و مخرب، نحوه فعل و انفعال عواملی مانند سرعت باد، مواد موجود در میان بوته‌ها و میزان دما در شب، برای فیزیکدانان روشن نیست و این باعث غیرقابل‌ پیش‌بینی بودن آتش‌سوزی می‌شود. در دیگر بلایای طبیعی، مسیرهای فرار می‌تواند به‌صورت غیرمنتظره‌ای بسته شود؛ همان‌طور که در ماه مه ۲۰۱۸ در جریان فوران آتشفشان کیلاو در هاوایی این اتفاق روی داد. حتی در تهدیدهای تعمدی، مانند بعضی از حملات سایبری در اوایل سال ۲۰۱۸، اتفاقات غیرمنتظره رخ می‌دهد. در یک اتفاق پیش‌بینی نشده، میلیون‌ها روتر وای‌فای خانگی در ایالات متحده و اروپا هدف قرار گرفته بودند. این ناگهانی بودن حتی برای بحران‌های ژئوپلیتیک، از جمله جنگ‌ها نیز درست است. به‌عنوان مثال، در اواخر سال ۲۰۱۸، بسیاری از شرکت‌های بزرگ بدون شک برنامه‌های احتیاطی برای جنگ تجاری بین چین و آمریکا دارند. آنها می‌دانند که رخدادهایی مانند این غیرمحتمل هستند؛ اما اگر رخ دهند، می‌توانند اثرات جهانی و در مقیاسی وسیع داشته باشند.

اکوسیستم‌های تهدید و فرا‌آمادگی (Meta-Readiness ) برای آنها

گرچه زمان، مکان و اثرات دقیق این رخدادها نمی‌تواند پیش‌بینی شود؛ اما «می‌توان» برای چنین رخدادهایی آمادگی بهتری ایجاد کرد. این کار نیاز به یک تغییر فکر اساسی از تمرکز بر مبارزه با تهدیدهای خاص به یک نگرش مستقل از تهدید (threat-agnostic) دارد. وقتی این نگرش را اخذ می‌کنید، روی آن چیزی تمرکز می‌کنید که فراآمادگی (meta-readiness) نامیده می‌شود: آمادگی توانایی درونی‌تان برای کنترل هر نوع بحرانی که اتفاق می‌افتد. شما توانایی برای تشخیص قریب‌الوقوع بودن یک بحران، واکنش سریع و موثر به آن و انجام کارهایی که در آن لحظه مورد نیاز است را با انعطاف‌پذیری و آگاهی توسعه می‌دهید.

به‌طور خلاصه، شما توانمندی‌هایی را برای مدیریت هرج‌و‌مرج‌ها ایجاد می‌کنید که هرگونه تحول در مقیاس بزرگ را به دنبال دارد.

حداقل سه طبقه وسیع از تهدیدهای نامتقارن وجود دارد:

• زیرساخت محافظت نشده

• تکنولوژی آسیب‌پذیر

• دست‌کم گرفتن بلایا

زیرساخت محافظت نشده: یک بلای طبیعی یا یک‌ حمله تروریستی می‌تواند یک عملیات اجرای سیستمی و کارآیی زیرساخت بزرگ‌ مقیاس را تقلیل دهد. این موضوع می‌تواند شامل سیستم‌های عمومی حمل‌و‌نقل و شبکه برق یا سیستم‌های خصوصی مانند بنادر تجاری و صرافی‌های ارزی باشد. همچنین اغلب تنظیمات و مقررات قانونی که برای حفاظت از این زیرساخت‌ها استفاده می‌شوند، آسیب‌پذیر هستند. این سیستم‌ها که جامعه به آنها وابسته است، نشان داده‌اند که نسبت به چنین ترکیب پیچیده‌ای از عوامل که سازمان‌ها و دولت‌ها برای تشخیص آن باید تلاش زیادی کنند، آسیب‌پذیرند. با فرض منابع محدود، کسب‌وکارها برای ریسک‌هایی که در پیش‌رو می‌بینند آماده می‌شوند و دولت‌ها مقرراتی را وضع می‌کنند. ولی اغلب، روی ریسک‌های واقعی تمرکز نمی‌شود.

به‌عنوان مثال، توفان ماریا در پورتوریکو ساکنان آن را به مدت ۱۰ ماه بدون برق گذاشت. ورای هزینه‌های اقتصادی مستقیم و مهم یک شکست بزرگ-مقیاس در شبکه، یک خسارت می‌تواند به دیگر نقاط مهم زیرساخت یک ناحیه سرایت کند. بدون دسترسی آسان به منبع الکتریکی، تقریبا همه چیز دیر یا زود به هم می‌ریزد. مانند شبکه بانکی، شبکه اینترنت، بازار سهام، منابع آبی، منابع غذایی، فاضلاب، جاده‌ها، بیمارستان‌ها، عملیات نظامی، سوخت و کنترل ترافیک هوایی.

تکنولوژی آسیب‌پذیر: وابستگی جامعه به اینترنت (و به‌طور فزاینده‌ای وابستگی به اشیای متصل به اینترنت در تکنولوژی اینترنت اشیا) باعث آسیب‌پذیری زیاد نسبت به تهدیدهای نامتقارن می‌شود.وقتی شرکت‌ها بیشتر و بیشتر فعالیت‌های خود را به سیستم‌های خودکار می‌سپارند، این انتظار را دارند که این تکنولوژی همواره همان‌طور که طراحی شده است کار کند. این انتظار تبدیل به یک پاشنه آشیل می‌شود؛ یعنی یک آسیب‌پذیری که ادامه خواهد یافت تا توسط هکرها و دولت‌ها استثمار شود. و این احتمالات به نفع آنهاست: در مقایسه با پیشگیری با دیجیتالی‌ترین تکنولوژی، هزینه‌های خرابکاری بسیار کمتر و نرخ بازگشت سرمایه به مراتب بزرگ‌تر خواهد بود. حتی مکانیزم‌هایی با تکنولوژی و منابع اندک مانند باج‌افزار مورد استفاده در یکی از بازارهای زیرزمینی تبهکاران سایبری با نام Dark Web می‌تواند تکنولوژی اولیه را که هر فعالیت سازمان را به‌طور مجازی تقویت می‌کند مختل سازد.

تاثیر مخرب سرقت سایبری و سرقت هویتی مکرر، به سطوح مصرف‌کنندگان نیز سرایت می‌کند و تبدیل به یک حقیقت تلخ و همیشگی در زندگی می‌شود. یک تحقیق PwC در سال ۲۰۱۷ در سطح مصرف‌کنندگان روی امنیت سایبری نشان می‌دهد تنها ۱۰ درصد از مصرف‌کنندگان احساس می‌کنند که کنترل کاملی بر اطلاعات شخصی خود دارند و اعتماد مصرف‌کنندگان نسبت به کسب‌و‌کار‌ها و نیز نسبت به دولت درباره حفاظت از اطلاعات شخصی‌شان در حال افول است. در ضمن، کسب‌و‌کارها در تلاش هستند تا توازن مناسبی بین رخنه‌های پنهان و ارسال بیش از حد هشدار‌های امنیتی به مصرف‌کنندگان بیابند. ابعاد و تعدد این گونه تهدیدها آن چنان هراس‌انگیز است که می‌تواند افراد و سازمان‌ها را بی‌تفاوت کند. یعنی دچار یک نوع انفعال می‌شوند که میزان مقاومت آنها در برابر آسیب‌های بعدی را کاهش می‌دهد.

دست‌کم گرفتن بلایا: گاهی بدترین سناریوی ممکن رخ ‌می‌دهد. به‌طور نمونه، انسان‌ها علیه پیش‌بینی و جلوگیری از آن سوگیری داشته باشند. معمول‌ترین سناریو در این دسته‌بندی یک تهدید بالقوه است که رهبران سازمانی از یک- به‌عنوان مثال- بلای طبیعی مانند توفان، سیل، خشکسالی، زلزله، سونامی یا آتش‌سوزی که دست‌کم گرفتن صدمات آن آسان است، آگاهی دارند. در عین حال، ممکن است رهبران سازمانی ظرفیت خود را برای مدیریت این رخدادها بیش از حد قلمداد کنند. این درک رهبر سازمانی خودش بزرگ‌ترین ریسک را ایجاد می‌کند.

در مارس ۲۰۱۱، زمانی که زلزله و سونامی ۹ ریشتری توهوکو در نزدیکی فوکوشیما، در ژاپن، رخ داد، در وهله اول قابل کنترل‌ به نظر می‌آمد. اما موارد دیگری در نزدیکی نیروگاه هسته‌ای دایچی وجود داشت. این موارد عبارت بودند از نگرانی‌های قضایی و موانع فرهنگی شفاف‌سازی که باعث ایجاد مشکل در مخابره اطلاعات واضح برای مثال درباره مسیرهای تخلیه می‌شد؛ مورد دیگر یک ساختار سلسله‌مراتبی سخت که از دفتر نخست‌وزیر آغاز می‌شد و باعث تحمیل تصمیم‌گیری می‌شد؛ مورد بعدی دستورالعمل‌های امنیتی و آماده‌سازی‌های نامناسب و همچنین سیستم‌های تکنولوژیک بود که شامل سیستم‌های سردکننده پشتیبان بر پایه ژنراتورهای دیزلی بود که از کار افتاده بودند. این عوامل به همراه تصمیم به تاسیس نیروگاه در یک موقعیت نامناسب، منجر به بحرانی بزرگ شد و به گفته رئیس کمیسیون بررسی مستقل حادثه هسته‌ای فوکوشیما، یک بلای ساخت دست بشر که می‌توانست و باید پیش‌بینی شده و از آن جلوگیری می‌شد. تراژدی فوکوشیما درس‌های مهمی از مدیریت بحران برای سایرین به همراه داشت.

پذیرش نگرش فراآمادگی

جلوگیری از تهدیدهای نامتقارن غیرقابل ‌پیش‌بینی و بسیار پرهزینه است. هیچ‌کس منابع برای آمادگی در برابر هر رخداد احتمالی را ندارد. اما این به معنای درماندگی شما نیست. ایجاد دسته‌بندی‌های گسترده پاسخ به تهدید نسبت به توسعه پاسخ دقیق به تک تک تهدیدها از اهمیت بیشتری برخوردار است. در حقیقت پذیرش نگرش «مستقل از تهدید» بسیار مهم و کلیدی است. اقداماتی که باید انجام شوند عبارتند از کاهش پیامدهای احتمالی مغایر به یک سطح پایین با طراحی دقیق، تست حساسیت و به‌کارگیری یک گروه مستقل از مهاجمان سایبری برای آزمایش میزان آسیب پذیری.

دستورالعمل‌های کاربردی

ابتدا اطمینان یابید که احتمال مواجهه با یک تهدید وجودی که انتظار آن را نداشته‌اید وجود دارد و یکسری اصول پیوسته بهبود پاسخ به بحران ایجاد کنید. یک طرح فراآمادگی که هدف آن آمادگی کلی شما و نه یک آمادگی بحران خاص باشد، به‌کار‌گیرید. اطمینان یابید که مدیرعامل شما (کسی که مسوولیت نهایی مدیریت و پیامدهای بحران را برعهده خواهد داشت) آن را اجرا می‌کند. دوم اینکه جهان ریسک‌ها را از دریچه سه دسته اصلی تهدید که در این مقاله بیان شد ببینید. به‌جای طرح‌های جزئی، یک طرح برای هر کدام از این دسته‌بندی‌ها ایجاد کنید. سوم اینکه برای هر دسته تهدید بزرگ‌تر توانایی پاسخ به تهدید کنونی خود را ارزیابی کنید. یعنی اینکه فرآیندها، روش‌ها، لیست مخاطبان و شماره تلفن‌های شما تا چه میزان قابل اتکا هستند؟ تصمیمات حیاتی موردنیاز توسط چه افرادی گرفته خواهد شد؟ چه منابعی نیاز خواهید داشت؟ این منابع کجا هستند؟ با چه سرعت و امنیتی قابل اعمال هستند؟ از تجربیات گذشته چه درس‌هایی گرفته شده است؟ در صورت امکان آنها را به‌صورت مدون گردآوری کنید. بسیاری از سازمان‌ها به سرعت درمی‌یابند که در این مرحله دچار کمبود هستند. این کمبودها را با افزودن ابزارها و تکنولوژی‌های کارآمد جبران کنید. سپس مانورهایی برای بحران‌های غیرمنتظره اجرا کنید. (به‌عنوان مثال یک مانور که از دید دشمن و بدون اخطار قبلی به تیم مقابل طراحی شده است.) در زمان بزرگ‌ترین بحران‌ها چه کسی تصمیمات کلیدی را می‌گیرد؟ پس از این مانور، کمبودها را دوباره ارزیابی کنید، منابع در دسترس و منابعی را که باید داشته باشید ارزیابی کنید، میزان کارآیی ابزارها و تیم خود را ارزیابی کنید و برای کنترل بهتر شرایط، نقش‌ها و مسوولیت‌ها را از نو تعریف کنید. سپس برای تکرار و آزمایش راهبردهای جدید یک مانور دیگر ایجاد کنید. چهارم توانایی هوشمندی کسب و کار خود را افزایش دهید. هوشمندی کسب و کار نمی‌تواند تنها به‌عنوان یک وسیله برای اخطار زودهنگام به‌کار گرفته شود. بلکه می‌تواند برای بهینه‌سازی منابع موجود نیز به‌کار رود.

پنجم، بررسی کنید که روش‌های داخلی شما چگونه در مقابل تهدیدهای نامتقارن عمل می‌کند. ریسک فزاینده فعالیت‌های اجرایی ناشی از ناکارآمدی کنترل‌های ضد رشوه‌خواری یا دیگر فعالیت‌های ضدکلاهبرداری را در نظر بگیرید. نهایتا توانایی‌های جاری خود را برای مدیریت بحران‌های نامتقارن پایه‌ریزی کنید. آن قدر این کار را انجام دهید تا همه تیم مدیریتی، حافظه عملکردی مناسبی برای مقابله با یک بحران غیرمنتظره به‌دست آورند. سپس آزمایش‌های دیگری را به‌طور منظم برنامه‌ریزی کنید تا بتوانید اعضای تیم و نیز ابزارها را آماده نگه دارید.

برنامه‌ریزی برای اتفاقات غیرمنتظره

یکی از مزایای پذیرش نگرش «مستقل از تهدید» این است که این نوع نگرش با انعطاف‌پذیری بیشتر از پروتکل‌های سخت دفاع می‌کند که ممکن است بحران را نجات ندهد. (همان طور که مورد فوکوشیما نشان می‌دهد.) خود فرآیند برنامه‌ریزی شما تنها در شرایط واقعی می‌تواند بهبود یابد؛ چرا که این فرآیند سازمان را به‌جای تفکر در مورد مواجهه با رویدادهای «موردانتظار»، مجبور به تفکر در مورد نحوه مواجهه با رویدادهای «غیرمنتظره» می‌کند. این فرآیند ( و ظرفیت پاسخگویی به اطلاعات جدید) بسیار مهم‌تر از تکه کاغذی است که به‌عنوان یک برنامه ارائه می‌‌شود.

ما بر این باوریم که مدیریت یک شرکت یک مسوولیت قابل اعتماد برای ایجاد فراآمادگی آن و مدیریت تهدیدهای غیرمتقارن به‌عنوان یک جنبه کلیدی از نگرش کلی آن برای مدیریت ریسک است. اعتبار شما به‌عنوان یک مدیر بستگی به این دارد که چگونه احتمال یک رخداد را پیش‌‌بینی کنید و چگونه به خوبی به آن پاسخ دهید.