تداوم کسب وکار و فناوری اطلاعات

موضوع تداوم دیرینه و حائر اهمیت می باشد. انسان هوشمند از بدو زندگی اجتماعی خود نیاز به "تداوم کسب وکار" را به صورت غریزی سرلوحه امور قرار داد و اقدام به علمیات اصلاحی نیز در این خصوص انجام داد به عنوان مثال نیاز به کشاورزی و دامپروی از جمله نمونه های این نگرش در انسانهای اولیه مشهود در تاریخ مصور بر دیوارغارها می باشد. نکته جالب توجه اینکه حیوانات نیز به بطور غریزی به امور مربوط به تداوم کسب و کار خویش می پردازند که نمونه بارز آن کوچ حیوانات برای امکان تغدیه است. حتی می توان به موارد مشابه در نباتات برای رقابت بر سر دریافت نور اشاره نمود و از این عجیب تر نظم موجود در جامدات بطور مثال نحوه شکل گیری و ادامه جهان هستی را در نظر گرفت. به عبارتی میلیاردها سال طول کشیده تا انسان در این چند هزار سال گذشته بتواند به درجه ای از رشد برسد که عصر خود را بصورت مکتوب به آیندگان نمایان کند و تنها حدود ۴۰ سال است که بعد جبران خرابی های ناشی از جنگ دوم جهانی توانسته کسب وکاری منحصر به فرد را در طول تاریخ بشریت بوجود بیاورد ولی برای صیانت از این اقتصاد منحصر به فرد چه تدابیری را اندیشیده است که با دو جنگ صوری که با عنوان ترویست شکل گرفت دچار رکودی گردید که در ۴۰ سال گذشته بی سابقه بوده و میلیون ها نفر در کشورهای صنعتی بیکار و ۱۰۰ها میلیون نفر در کشورهای توسعه نیافته دچار بحران غدایی شدند.
در صورتی که بخواهیم کلی تر به این موضوع تداوم فکر کنیم آیا بشر به تداوم حضور خود بر روی این کره خاکی اندیشه می کند بیماری را تصور کنید مانند ثارث و ایذر که سرعت اپیدمی بیش از ۱۰۰۰ برابر داشته باشد در این صورت ظرف کمتر از ۲ سال نسل بشر را از پا در بیاورد متاسفانه بشر امورزی بقدی درگیر امور روز مره شده است که جز در چند قدمی خود را نگه نمی کند پزشکان در گیر علاج سرماخوردگی و مدیران فقط به سود جاری بسنده کرده اند. آیا این حباب یعنی ۴۰ ساله (عصر فن آوری) یا ۴۰۰ ساله (عصر صنعتی) را می توان حفظ کرد و آن را به بلور و در ادامه به الماس تبدیل کرد. در طبیعت الماس در طی میلیارد ها سال از کربن نرم حاصل می شود. البته این گونه مثالها در بحث "تداوم کسب و کار" خارج از تصور می باشد ولی بعنوان یک موضوع جهت جلب توجه به روش طوفان ذهنی می تواند توجه مخاطب را جلب کند. در ادامه لاجرم حیطه سطحیتری را مورد کنکاش قرار می گیرد بطور کلی کسب و کار شامل شکل گیری، راه اندزی، توسعه و تداوم می باشد که غالباٌ تداوم کسب و کار مغفول واقع می شود. گرچه تداوم کسب وکار موضوع جدیدی نیست ولی اهمیت تداوم ارائه خدمات و محصولات، نیاز به نگرش سیستماتیک و مدون به "تداوم کسب و کار"، امروزه باعث افزایش بهره وری و ادامه روند کسب و کار می گردد. وقتی خطیب صحبت می کند هر مخاطبی یک برداشت را در ذهن می پروراند بنا براین اولین اقدام برای همگرایی و هم راستایی استفاده از ابزاری مناسب جهت فهم، اجرا و سنجش می باشد امروزه برای اینکه بتوان موضوعی را به مرثه ظهور رساند و توسعه داد از یک زبان مشترک استفاده می شود برای توافق بر سر این زبان مشترک در خصوص یک موضوع بهترین عملکردها را جمع آوری و به مخاطبین عنوان می گردد و در ادامه آن را بصورت یک استاندارد قابل قبول ارائه می کنند.
از جمله مزایای این روشها می توان به کاهش هزینه، زبان مشترک برای عوامل مشاور، مجری و کارفرما، اقدامات قابل سنجش، بهبود عملکرد، حصول اطمینان از امکان پیاده سازی، امکان روزآمد بودن و روزآمد شدن و انطباق با موارد بین المللی را نام برد. برای مثال می توان به ISO۹۰۰۰ و BS۷۷۹۹ ارشاره نمود که زبان مشترک و حداقل های مورد نیاز برای سیستم کنترل کیفیت و امنیت اطلاعات را بیان می کنند در خصوص "تداوم کسب وکار" نیز رهنمود های ملی و بین المللی متعددی ارائه شده اند که سرآمد آنها BS۲۵۹۹۹ می باشد. و در خصوص "آمادگی فن آوری اطلاعات برای کسب وکار" نیز استناداردهای قابل توجه ای ارائه شده اند با توجه به اینکه ISO در این باره ISO۲۷۰۳۱ را ارائه کرده که عمومیت بیشتری نسبت که موارد ملی مشابه دارد بنابراین به تشریح BS۲۵۹۹۹ و ISO۲۷۰۳۱ می پردازیم. یکی از موارد جالب این استاندارد ها نحوه استقرار به همراه نگرش بهبود مستمر براساس روش متداول PDCA طراحی، انجام، بررسی و اقدام می باشد که بیشتر استانداردهای ارائه شده بر این اساس اجرا و پیاده سازی می شوند. در صورتیکه این روش بطور سرسری اجرا نشود می تواند نتایج مناسبی را برای شرکتها در بر داشته و باعث بهبود مستمر نیز باشد. متاسفانه بدلیل نبود فرهنگ اقدام بر اساس استاندارد در غالباً پیگیریهای مربوطه بعد از استقرار سیستم استاندارد دچار رخوت و کوتاهی می شوند که به مرور کارایی خود را از دست می دهند و تنها بصورت یک موضوع دست و پا گیر برای افراد و سازمان در می آیند. و بعد از چند دوره جمع آوری اطلاعات به دست فراموشی سپرده می شوند یا ارائه اطلاعات بصورت صوری صرفاً به منظور خلاصی از امور انجام می شود. از آشنایی با ISO۹۰۰۰ و سیستم ISMS می توان بهره برد و از مفاهیم مشترک صرفه نظر نمود و از اصطلاحات اساسی مربوط به تداوم کسب و کار شروع نمود. در استاندارد BS۲۵۹۹۹ تداوم کسب و کار عبارت است از استعداد استراتژی و تکنیک سازمان برای طراحی و پاسخگویی به حوادث و معظلات کسب وکار با الزام به تداوم عملیات حیاتی کسب و کار در سطح قابل قبول. مدیریت تداوم کسب وکار، فرایند مدیریتی شناسایی مخاطرات بالقوه سازمان و ممکن بر عملیات کسب وکار جهت ارائه چهارچوب برای مقاوم ساختن سازمان با توانایی پاسخگویی موثر به منظور حفاظ از خواسته های ذینفعان و دفاع از شهرت و اعتبار سازمان است. طرح تداوم کسب وکار مجموعه اطلاعات و روشهای مکتوب جهت استفاده در یک واقعه به منظور تداوم فرآیندهای حیاتی در سطح از قبل تعیین شده قابل قبول است. آنالیز ضربه کسب وکار نیز به فرآیند آنالیز عملیات کسب وکار و تاثیر وقفه کسب وکار که ممکن است با آنها مواجعه شود اتلاق می گردد.
در ضمن ریسک، آنالیز ریسک و مدیریت ریسک که در سیستم مدیریت امنیت اطلاعات نقس مهمی دارند در تداوم کسب وکار نیز نقش پررنگی دارند. با توجه به مدل چرخه PDCA شروع کار با مرحله PLAN می باشد. این مرحله شامل امور مربوط به ایجاد و مدیریت BCMS می باشد که مهمترین موضوع در مرحله PLAN تدوین خط مشی، تامین منابع، آموزش، فرهنگ سازی و تهیه مستندات می باشد. در اکثر موارد نقش مدیریت سازمان حیاتی بوده در صورت حمایت مدیریت می توان به حصول مراحل بعدی امید وار بود. در مرحله DO که پیاده سازی و عملیات BCMS می باشد شناخت سازمان، ارزیابی ریسک، تعیین حق انتخابها، تعیین استراتژی تداوم کسب و کار، توسعه و پیاده سازی، ممارست و نگهداری BCM پاسخگو از جمله امور کلیدی محسوب می شوند. و مرحله CHECK که به پایش و بازبینی یاد می شود شامل بازبینی و بازبینی توسط مدیریت می باشد در واقع در این مرحله عملکرد سیستم مدیریت کسب و کار راه اندازی شده با معیارهای تعیین شده مورد سنجش قرار می گیرد و مهمترین مسائل در این فاز ورودی بازبینی و خروجی بازبینی است. و سرانجام مرحله ACT شامل بهبود مستمر،اقدامات اصلاحی و اقدامات پیشگیرانه می باشد. نتایج حاصل از این مرحله به عنوان ورودی به مرحله plan منتقل می گردد و این چرخه به همین شکل ادامه پیدا می کند.
در ISO۲۷۰۳۱ مباحث مربوط به تداوم به بر اساس فن آوری اطلاعات عنوان شده گذشته از مفاهیم مربوط به تداوم کسب وکار می توان به اصطلاحات فن آوری اطلاعات مانند disaster، disaster recovery، DR plan، (EOC) emergency operations center، minimum business continuity objective (MBCO) اشاره نمود. (ICT readiness for business continuity (IRBC)) بعنوان بخشی از سیستم مدیریت برای تکمیل ISMS و برنامه تداوم کسب وکار سازمان است. آمادگی ICT برای تداوم کسب وکار( IRBC) به منظور آمادگی سازمان جهت اطمینان از تداوم عملیاتی از کسب و کار که به وسیله سیستمهای ICT پشتیبانی می شوند به کار بسته می شود. آمادگی ICT برای تداوم کسب وکار( IRBC) بعنوان یک توانمد ساز برای سیستمهای ICT و زیر ساخت سازمان به منظور آمادگی قبل از وقوع حوادث، در طی وقوع رخداد های منتهی به بحران و پاسخگویی و بازیابی حوادث و خرابیها عمل می کند. در واقع IRBC نواقص و کاستی های طرح تداوم کسب و کار و موارد امنیتی برای طراحی و پیاده سازی سیستمهای ICT را در سازمان پوشش می دهد. آمادگی ICT برای تداوم کسب وکار( IRBC) سازمان را ملزم به بهبود توانایی در آگاهی از وقفه های بالقوه و ریسکهای مرتبط با رویدادهای شناسایی شده و تحلیل احتمالات قابل تبدیل به حوادث تاثیر گذار بر تداوم کسب و کار می کند. همچنین IRBC با بازبینی نتایج حاصل از پاسخگویی و عدم پاسخگویی به مواضع ریسک (بعنوان نتیجه پیشامد یک رخداد) در محیط واقعی و بازنگری عملکرد خودش در خصوص حادثه به منظور موثر بودن در موارد آتی تغییرات مورد لزوم را تعیین و اعمال می کند در واقع IRBC یک سیستم خود یاد گیرنده است در واقع باید به IRBC این رویکرد نگاه کرد. با توجه به نمودار های یک و دو می توان به سهولت دریافت که متدها و چهارچوب های تداوم کسب و کار جهت کاهش وقفه ناشی از خرابی و اشکالات تدوین می شود بر اساس شکل یک تداوم کسب و کار اصرار به نیاز سازمان برای طرح و آمادگی برای بازیابی در برابر حوادث و کاهش تغییرات متاثر از وفقه ها و ریسک های مرتبط دارد. در حالی که IRBC روی شناسایی دقیق رخداد ها و تعدیل حادثه یا خرابی برای اقدام عاجل جهت سازماندهی مقتضی سیستمها یا زیر ساخت ICT درصورتیکه نتوان از بروز وقفه جلوگیری کرد بتوان ارائه خدمات را در سطح قابل قبول بدون در دست دادن زمان حفظ کرد دلالت دارد. به وضوح می توان گفت که پاسخگویی به حوادث و طرح بازیابی خرابی ICT و طرح آمادگی ICT باید در راستای برنامه تداوم کسب و کار سازمان باشد.
به طور کلی هدف سازمان کاهش وقفه و اطمینان از تدوام عملیات کسب و کار است. وجود چهار چوب های تداوم کسب وکار برای پوشش IRBC لازم می باشد. مانند BS۲۵۹۹۹ IRBC نیز بر اساس Plan-Do-Check-Act (PDCA) است.