یکپارچه‌سازی مدیریت استمرار کسب‌وکار

مترجم: محمدجعفر نظری منبع: CSO اغلب سازمان‌ها با رویکرد مبتنی بر ریسک، در حال تغییر شکل در زمینه‌ مدیریت امنیت هستند، اما بسیاری از این تجارب در زمینه‌ مدیریت ریسک فناوری اطلاعات همچنان از سطحی از پراکندگی رنج می‌برند که توانایی مدیران را برای دیدن یک تصویر کامل و منطقی از مساله و تصمیم‌گیری با حداکثر اطلاعات را به صورتی که از نظر تجاری منطقی و از نظر قانونی قابل دفاع باشد، محدود می‌کند. یکی از این رویکردها مدیریت استمرار کسب‌وکار BCM) business continuity management) است که در قالب تیم‌هایی انجام می‌شود که در گذشته به عنوان بخش‌های کارکردی جداگانه‌ای عمل می‌کردند. این تیم‌ها فاقد یکپارچگی کامل با ریسک فناوری اطلاعات و تطابق با استانداردها هستند و تنها چیزی که دارند پشتیبانی آشکار فناوری اطلاعات و کسب‌وکار است. در گذشته تفکیک مدیریت استمرار کسب‌وکار و فناوری اطلاعات به خاطر فقدان یک جهان‌بینی منسجم نسبت به این مفاهیم وجود نداشته و پایدار مانده است. اما با گذشت زمان تیم‌های مدیریت استمرار کسب‌وکار یک رویکرد مبتنی بر ریسک را در خصوص تیم‌های امنیت اطلاعات و فناوری اطلاعات در پیش گرفتند. به علاوه، مجموع داده‌هایی که برای مدیریت هر برنامه مورد استفاده قرار می‌گیرد همواره یک همپوشانیِ حداقلی داشته است. به همین صورت، ابزارهای گزارش‌دهی نیز همپوشانی کمی با یکدیگر دارند؛ زیرا مستقل از یکدیگر برای برطرف کردن نیاز هر کدام از بخش‌های کارکردی رشد می‌کنند و ریشه‌ واحدی ندارند. خوشبختانه ابزارهای ریسک و استانداردسازی فناوری اطلاعات در حال حاضر شروع به یکپارچه‌سازی بخش‌های مدیریت استمرار کسب‌وکار و گزارش‌دهی کرده‌اند که رهبران سازمان‌ها را قادر می‌سازد که در خصوص ریسک عملیاتی بصیرت‌های بهتر و کامل‌تری داشته باشند. تحلیل ساختارمند نیاز به یکپارچه‌سازی ابزارها پرسشی که به ناچار در اینجا مطرح می‌شود آن است که آیا یکپارچه‌سازی ابزارها مهم و ضروری است یا خیر؟ اگر تیم‌ها توانستند بر سکوهای فناوری خود برای مدت طولانی پایدار بمانند و مشکلی پیش نیاید، می‌توان گفت آنها کارآمد بوده‌اند. این گفته تا حدی می‌تواند حقیقت داشته باشد؛ اما واقعیت آن است که فعالیت‌های پراکنده در نهایت تطابق لازم را با یکدیگر ندارند؛ به خصوص وقتی که تقاضاها و انتظارات تازه‌ کسب‌وکارها برای افزایش عملکرد آنها در نظر گرفته شود. سه ملاحظه در خصوص نیاز به یکپارچه‌سازی ابزاری بین مدیریت استمرار کسب‌وکار و مدیریت فناوری اطلاعات وجود دارد که عبارتند از: ۱. نخست آنکه ابزارهای یکپارچه‌سازی سلسله مراتب بلند و تفکیک‌شده‌ بخش‌های مختلف سازمان را تبیین می‌کنند و درک آسان‌تری را از کسب‌وکار فراهم می‌آورند و در عین حال ایجاد اتصال بین اهداف مدیریت ریسک و مدیریت استانداردسازی اطلاعات را با طرح‌های ویژه‌ استمرار کسب‌وکار و رویه‌های ویژه‌ آن ممکن می‌سازند. انجام این کار زحمت لازم برای ساختن و بازنگری طرح‌ها را کاهش می‌دهد؛ زیرا باعث کاهش میزان زمان لازم برای ردیابی اطلاعات در پایگاه‌های داده‌‌ای مختلف می‌شود. ۲. دوم آنکه گره زدن مدیریت استمرار کسب‌وکار به یک سکوی فناوری استاندارد که به‌وسیله‌ بخش فناوری اطلاعات و امنیت اطلاعات به کار گرفته می‌شود، به حذف داده‌های تکراری و بیهوده کمک می‌کند. تیم‌های عملیات یک وظیفه‌ متداول برای بازیابی اطلاعات حاصل از قطعی و شکست در پردازش آنها دارند و تیم‌های امنیت اطلاعات همواره در خصوص ارزش نسبی سیستم و شرایط امنیتی آن هوشیار هستند. دلیلی برای عدم استفاده از این ارزش‌های متداول در درون برنامه‌ مدیریت استمرار کسب‌وکار وجود ندارد. در عین حال بخش‌های فناوری اطلاعات و امنیت اطلاعات می‌تواند از تجربه تیم‌های مدیریت استمرار کسب‌وکار در رابطه با اعمال اثر تجاری پایدار و قابل تکرار بر کسب‌وکار و تحلیل مخاطرات استفاده کنند و ارزش نسبی کسب‌وکار را با اهداف کلیدی استراتژیک گره بزنند. ۳. در نهایت، کیفیت طرح استمرار کسب‌وکار با به کارگیری تخصص بخش فناوری اطلاعات به‌وسیله‌ تیم مدیریت استمرار کسب‌وکار و از طریق یکپارچه‌سازی رویکردها بهبود می‌یابد. ضمن آنکه دسترسی به مجموعه داده‌های عملیاتی فراهم می‌شود که برنامه‌ریزی را مورد حمایت قرار می‌دهند. همچنین، یکپارچه‌سازی مدیریت استمرار کسب‌وکار با فناوری اطلاعات و امنیت اطلاعات هوشیاری کلی عملیاتی نسبت به مخاطرات را از طریق بهبود مشاهده‌پذیری ریسک بهبود می‌بخشد. مدیریت استمرار کسب‌وکار و ریسک عملیاتی دامنه‌دار ما با عوامل ریسکی روزانه کاملا آشنا هستیم؛ عواملی که به دفعات نسبتا مکرر رخ می‌دهند و معمولا اثری کوچک یا معتدل دارند. اما به ندرت ملاحظات دامنه‌دار را به عنوان بخشی از فهرست ریسک‌های فناوری اطلاعات در نظر می‌گیریم (یعنی عواملی که به دفعات کم یا بسیار کم رخ می‌دهند و در عین حال اثر بالا یا بسیار بالایی دارند) این عوامل ریسک دامنه‌دار اغلب باعث به وجود آمدن شرایط ناپایداری می‌شوند که ممکن است در تحلیل‌های متداول ریسک فناوری اطلاعات نگنجد. با این حال، در نظر گرفتن تمامی طیف گسترده‌ عوامل ریسک برای جامعیت ما در این زمینه و همچنین برای انجام یک برنامه‌ مدیریت ریسک و امنیت که از جهت قانونی قابل دفاع و از نظر تجاری به صرفه باشد، بسیار ضروری است. گفته‌ زیر از تام شولتز تحلیلگر مرکز مدیریت استمرار کسب‌وکار «گارتنر» را در نظر بگیرید: «برنامه‌ریزی مدیریت استمرار کسب‌وکار گاهی اوقات با یک سطح بسیار بالایی از سنجش ریسک صورت می‌گیرد و در مواردی حتی بدون هیچ سنجشی انجام می‌گیرد. اگرچه به خوبی می‌دانیم که سنجش ریسک یک جزء مهم از برنامه‌ریزی مدیریت استمرار کسب‌وکار است، اما برخی مدیران گاهی آن را وقت‌گیر و نیازمند صرف منابع بسیار می‌بینند. این دیدگاه نه تنها توجیه شده بلکه با توجه به فقدان عمومی روش‌های سنجش ریسک اثربخش و ابزارهای آنها و استفاده‌ نامناسب از این ابزارها و روش‌ها متأسفانه تقویت هم شده است. به علاوه، با توجه به این که برنامه‌ریزی مدیریت استمرار کسب‌وکار اغلب بر رخدادهای کم احتمال و پراثر متمرکز است. تاکید بر سنجش ریسک معمولا متمرکز بر «امکان» یک رخداد فاجعه‌بار است و نه «احتمال» آن. یعنی این احتمال باید به دقت محاسبه شود.» این گفته بر این نکته تاکید دارد که مدیریت استمرار کسب‌وکار باید بر ریسک‌های دامنه‌دار متمرکز باشد. در نتیجه بسیار مهم است که گزارش این ریسک‌ها را از سایر گزارش‌های مربوط به فناوری اطلاعات و امنیت اطلاعات تفکیک کنیم. این گفته همچنین تاکید دارد که در درون مدیریت استمرار کسب‌وکار یک راز تلخ وجود دارد: روش‌های سنجش ریسک آن گونه که ما فکر می‌کنیم نیستند و بلوغ کافی را ندارند. اگرچه تیم‌های مدیریت استمرار کسب‌وکار مدت‌ها در خصوص سنجش ریسک تفکر و گفت‌وگو کرده‌اند، اما واقعیت این است که بیشتر این سنجش‌ها فاقد بلوغ و کیفیت هستند. هم‌اکنون این فرصت وجود دارد که تیم‌های فناوری اطلاعات و امنیت اطلاعات از طریق یک سکوی مشترک که تشکیل دهنده‌ یک رویکرد منسجم و پالایش شده برای سنجش، تحلیل و مدیریت ریسک باشد با تیم‌های مدیریت استمرار کسب‌وکار ادغام شوند. بهبود مدیریت ریسک عملیاتی با یکپارچه‌سازی مدیریت استمرار مدیریت ریسک و استانداردسازی به طور کلی، دستیابی به یک دیدگاه منسجم از ریسک عملیاتی ممکن است. اما این امکان تنها در صورتی وجود دارد که تمامی طیف گسترده‌ ریسک‌ها در نظر گرفته شود و ما را به فهم بهتر از کسب‌وکار و ریسک‌هایی که با آن مواجه است رهنمون سازد. با یکپارچه‌سازی مدیریت استمرار کسب‌وکار (BCM) و مدیریت ریسک و استانداردسازی فناوری اطلاعات (IT GRC)، برنامه‌ریزان می‌توانند یک تصویر واحد و منسجم از ریسک مورد نظر را ترسیم و آن را به هیات مدیره ارائه کنند. عدم انسجام و جدا بودن این گروه‌های برنامه‌ریزی از یکدیگر باعث سردرگمی در اولویت‌بندی عوامل ریسک می‌شود و هیات مدیره را در تصمیم‌گیری دچار مشکل می‌کند. عامل مهم دیگری که باید ذکر شود آن است که توانایی تکامل تدریجی به صورت مستمر از طریق بهبود روش‌های مدیریت مخاطرات عملیاتی و افزایش مشاهده‌پذیری طیف کامل ریسک‌ها ممکن می‌شود: «همانند همه‌ سیاست‌ها و رویه‌ها، حتی بهترین برنامه‌های بازاریابی می‌تواند به سرعت قدیمی شود. بنابراین باید طرح بازیابی را یک سند زنده فرض کنید و یک فرآیند بهبود مستمر فرآیند را برای آن در نظر بگیرید تا در مقاطع مختلف مورد بازنگری قرار گیرد (حداقل سالی یک بار). همچنین باید رویکرد مبتنی بر رخداد هم در این باره به کار گرفته شود تا تاثیر رخدادهای مهم (همچون تغییر در شکل و ماهیت ریسک عملیاتی کسب‌وکار یا فرآیندهای فناوری اطلاعات یا تغییر مقررات) در نظر گرفته شده باشد. استفاده از فرصت‌های یکپارچه‌سازی بین مدیریت استمرار کسب‌وکار و مدیریت ریسک و استانداردسازی فناوری اطلاعات، یک ساز و ‌کار کارآمد را برای بهبود سیاست‌ها و رویه‌ها و بهبود مشاهده‌پذیری ملاحظات ریسک عملیاتی به وجود می‌آورد و هزینه‌ها را از طریق زدودن دوباره‌کاری‌ها و استفاده از مجموعه‌ داده‌های مشترک کاهش می‌دهد. نتیجه‌ نهایی این کار دستیابی به یک عملیات بهتر و کارآمدتر است که برای پرداختن آسان به رخدادهای متداول و رخدادهای نامتداول به عنوان بخشی از کسب‌وکار آماده شده و از طریق دستیابی به روش‌های قابل دفاع از نظر قانونی و قابل توجیه از نظر تجاری دستیابی به بقای کسب‌وکار را تضمین می‌کند.