یکپارچهسازی مدیریت استمرار کسبوکار
اغلب سازمانها با رویکرد مبتنی بر ریسک، در حال تغییر شکل در زمینه مدیریت امنیت هستند، اما بسیاری از این تجارب در زمینه مدیریت ریسک فناوری اطلاعات همچنان از سطحی از پراکندگی رنج میبرند که توانایی مدیران را برای دیدن یک تصویر کامل و منطقی از مساله و تصمیمگیری با حداکثر اطلاعات را به صورتی که از نظر تجاری منطقی و از نظر قانونی قابل دفاع باشد، محدود میکند.
یکی از این رویکردها مدیریت استمرار کسبوکار BCM) business continuity management) است که در قالب تیمهایی انجام میشود که در گذشته به عنوان بخشهای کارکردی جداگانهای عمل میکردند. این تیمها فاقد یکپارچگی کامل با ریسک فناوری اطلاعات و تطابق با استانداردها هستند و تنها چیزی که دارند پشتیبانی آشکار فناوری اطلاعات و کسبوکار است.
در گذشته تفکیک مدیریت استمرار کسبوکار و فناوری اطلاعات به خاطر فقدان یک جهانبینی منسجم نسبت به این مفاهیم وجود نداشته و پایدار مانده است. اما با گذشت زمان تیمهای مدیریت استمرار کسبوکار یک رویکرد مبتنی بر ریسک را در خصوص تیمهای امنیت اطلاعات و فناوری اطلاعات در پیش گرفتند. به علاوه، مجموع دادههایی که برای مدیریت هر برنامه مورد استفاده قرار میگیرد همواره یک همپوشانیِ حداقلی داشته است. به همین صورت، ابزارهای گزارشدهی نیز همپوشانی کمی با یکدیگر دارند؛ زیرا مستقل از یکدیگر برای برطرف کردن نیاز هر کدام از بخشهای کارکردی رشد میکنند و ریشه واحدی ندارند. خوشبختانه ابزارهای ریسک و استانداردسازی فناوری اطلاعات در حال حاضر شروع به یکپارچهسازی بخشهای مدیریت استمرار کسبوکار و گزارشدهی کردهاند که رهبران سازمانها را قادر میسازد که در خصوص ریسک عملیاتی بصیرتهای بهتر و کاملتری داشته باشند.
تحلیل ساختارمند نیاز به یکپارچهسازی ابزارها
پرسشی که به ناچار در اینجا مطرح میشود آن است که آیا یکپارچهسازی ابزارها مهم و ضروری است یا خیر؟ اگر تیمها توانستند بر سکوهای فناوری خود برای مدت طولانی پایدار بمانند و مشکلی پیش نیاید، میتوان گفت آنها کارآمد بودهاند. این گفته تا حدی میتواند حقیقت داشته باشد؛ اما واقعیت آن است که فعالیتهای پراکنده در نهایت تطابق لازم را با یکدیگر ندارند؛ به خصوص وقتی که تقاضاها و انتظارات تازه کسبوکارها برای افزایش عملکرد آنها در نظر گرفته شود.
سه ملاحظه در خصوص نیاز به یکپارچهسازی ابزاری بین مدیریت استمرار کسبوکار و مدیریت فناوری اطلاعات وجود دارد که عبارتند از:
۱. نخست آنکه ابزارهای یکپارچهسازی سلسله مراتب بلند و تفکیکشده بخشهای مختلف سازمان را تبیین میکنند و درک آسانتری را از کسبوکار فراهم میآورند و در عین حال ایجاد اتصال بین اهداف مدیریت ریسک و مدیریت استانداردسازی اطلاعات را با طرحهای ویژه استمرار کسبوکار و رویههای ویژه آن ممکن میسازند. انجام این کار زحمت لازم برای ساختن و بازنگری طرحها را کاهش میدهد؛ زیرا باعث کاهش میزان زمان لازم برای ردیابی اطلاعات در پایگاههای دادهای مختلف میشود.
۲. دوم آنکه گره زدن مدیریت استمرار کسبوکار به یک سکوی فناوری استاندارد که بهوسیله بخش فناوری اطلاعات و امنیت اطلاعات به کار گرفته میشود، به حذف دادههای تکراری و بیهوده کمک میکند. تیمهای عملیات یک وظیفه متداول برای بازیابی اطلاعات حاصل از قطعی و شکست در پردازش آنها دارند و تیمهای امنیت اطلاعات همواره در خصوص ارزش نسبی سیستم و شرایط امنیتی آن هوشیار هستند. دلیلی برای عدم استفاده از این ارزشهای متداول در درون برنامه مدیریت استمرار کسبوکار وجود ندارد. در عین حال بخشهای فناوری اطلاعات و امنیت اطلاعات میتواند از تجربه تیمهای مدیریت استمرار کسبوکار در رابطه با اعمال اثر تجاری پایدار و قابل تکرار بر کسبوکار و تحلیل مخاطرات استفاده کنند و ارزش نسبی کسبوکار را با اهداف کلیدی استراتژیک گره بزنند. ۳. در نهایت، کیفیت طرح استمرار کسبوکار با به کارگیری تخصص بخش فناوری اطلاعات بهوسیله تیم مدیریت استمرار کسبوکار و از طریق یکپارچهسازی رویکردها بهبود مییابد. ضمن آنکه دسترسی به مجموعه دادههای عملیاتی فراهم میشود که برنامهریزی را مورد حمایت قرار میدهند. همچنین، یکپارچهسازی مدیریت استمرار کسبوکار با فناوری اطلاعات و امنیت اطلاعات هوشیاری کلی عملیاتی نسبت به مخاطرات را از طریق بهبود مشاهدهپذیری ریسک بهبود میبخشد.
مدیریت استمرار کسبوکار و ریسک عملیاتی دامنهدار
ما با عوامل ریسکی روزانه کاملا آشنا هستیم؛ عواملی که به دفعات نسبتا مکرر رخ میدهند و معمولا اثری کوچک یا معتدل دارند. اما به ندرت ملاحظات دامنهدار را به عنوان بخشی از فهرست ریسکهای فناوری اطلاعات در نظر میگیریم (یعنی عواملی که به دفعات کم یا بسیار کم رخ میدهند و در عین حال اثر بالا یا بسیار بالایی دارند) این عوامل ریسک دامنهدار اغلب باعث به وجود آمدن شرایط ناپایداری میشوند که ممکن است در تحلیلهای متداول ریسک فناوری اطلاعات نگنجد. با این حال، در نظر گرفتن تمامی طیف گسترده عوامل ریسک برای جامعیت ما در این زمینه و همچنین برای انجام یک برنامه مدیریت ریسک و امنیت که از جهت قانونی قابل دفاع و از نظر تجاری به صرفه باشد، بسیار ضروری است. گفته زیر از تام شولتز تحلیلگر مرکز مدیریت استمرار کسبوکار «گارتنر» را در نظر بگیرید:
«برنامهریزی مدیریت استمرار کسبوکار گاهی اوقات با یک سطح بسیار بالایی از سنجش ریسک صورت میگیرد و در مواردی حتی بدون هیچ سنجشی انجام میگیرد. اگرچه به خوبی میدانیم که سنجش ریسک یک جزء مهم از برنامهریزی مدیریت استمرار کسبوکار است، اما برخی مدیران گاهی آن را وقتگیر و نیازمند صرف منابع بسیار میبینند. این دیدگاه نه تنها توجیه شده بلکه با توجه به فقدان عمومی روشهای سنجش ریسک اثربخش و ابزارهای آنها و استفاده نامناسب از این ابزارها و روشها متأسفانه تقویت هم شده است. به علاوه، با توجه به این که برنامهریزی مدیریت استمرار کسبوکار اغلب بر رخدادهای کم احتمال و پراثر متمرکز است. تاکید بر سنجش ریسک معمولا متمرکز بر «امکان» یک رخداد فاجعهبار است و نه «احتمال» آن. یعنی این احتمال باید به دقت محاسبه شود.»
این گفته بر این نکته تاکید دارد که مدیریت استمرار کسبوکار باید بر ریسکهای دامنهدار متمرکز باشد. در نتیجه بسیار مهم است که گزارش این ریسکها را از سایر گزارشهای مربوط به فناوری اطلاعات و امنیت اطلاعات تفکیک کنیم. این گفته همچنین تاکید دارد که در درون مدیریت استمرار کسبوکار یک راز تلخ وجود دارد: روشهای سنجش ریسک آن گونه که ما فکر میکنیم نیستند و بلوغ کافی را ندارند. اگرچه تیمهای مدیریت استمرار کسبوکار مدتها در خصوص سنجش ریسک تفکر و گفتوگو کردهاند، اما واقعیت این است که بیشتر این سنجشها فاقد بلوغ و کیفیت هستند. هماکنون این فرصت وجود دارد که تیمهای فناوری اطلاعات و امنیت اطلاعات از طریق یک سکوی مشترک که تشکیل دهنده یک رویکرد منسجم و پالایش شده برای سنجش، تحلیل و مدیریت ریسک باشد با تیمهای مدیریت استمرار کسبوکار ادغام شوند.
بهبود مدیریت ریسک عملیاتی با یکپارچهسازی مدیریت استمرار مدیریت ریسک و استانداردسازی
به طور کلی، دستیابی به یک دیدگاه منسجم از ریسک عملیاتی ممکن است. اما این امکان تنها در صورتی وجود دارد که تمامی طیف گسترده ریسکها در نظر گرفته شود و ما را به فهم بهتر از کسبوکار و ریسکهایی که با آن مواجه است رهنمون سازد. با یکپارچهسازی مدیریت استمرار کسبوکار (BCM) و مدیریت ریسک و استانداردسازی فناوری اطلاعات (IT GRC)، برنامهریزان میتوانند یک تصویر واحد و منسجم از ریسک مورد نظر را ترسیم و آن را به هیات مدیره ارائه کنند. عدم انسجام و جدا بودن این گروههای برنامهریزی از یکدیگر باعث سردرگمی در اولویتبندی عوامل ریسک میشود و هیات مدیره را در تصمیمگیری دچار مشکل میکند.
عامل مهم دیگری که باید ذکر شود آن است که توانایی تکامل تدریجی به صورت مستمر از طریق بهبود روشهای مدیریت مخاطرات عملیاتی و افزایش مشاهدهپذیری طیف کامل ریسکها ممکن میشود: «همانند همه سیاستها و رویهها، حتی بهترین برنامههای بازاریابی میتواند به سرعت قدیمی
شود. بنابراین باید طرح بازیابی را یک سند زنده فرض کنید و یک فرآیند بهبود مستمر فرآیند را برای آن در نظر بگیرید تا در مقاطع مختلف مورد بازنگری قرار گیرد (حداقل سالی یک بار). همچنین باید رویکرد مبتنی بر رخداد هم در این باره به کار گرفته شود تا تاثیر رخدادهای مهم (همچون تغییر در شکل و ماهیت ریسک عملیاتی کسبوکار یا فرآیندهای فناوری اطلاعات یا تغییر مقررات) در نظر گرفته شده باشد.
استفاده از فرصتهای یکپارچهسازی بین مدیریت استمرار کسبوکار و مدیریت ریسک و استانداردسازی فناوری اطلاعات، یک ساز و کار کارآمد را برای بهبود سیاستها و رویهها و بهبود مشاهدهپذیری ملاحظات ریسک عملیاتی به وجود میآورد و هزینهها را از طریق زدودن دوبارهکاریها و استفاده از مجموعه دادههای مشترک کاهش میدهد. نتیجه نهایی این کار دستیابی به یک عملیات بهتر و کارآمدتر است که برای پرداختن آسان به رخدادهای متداول و رخدادهای نامتداول به عنوان بخشی از کسبوکار آماده شده و از طریق دستیابی به روشهای قابل دفاع از نظر قانونی و قابل توجیه از نظر تجاری دستیابی به بقای کسبوکار را تضمین میکند.