ما المقصود باستمرارية الأعمال والتعافي من الكوارث (BCDR)؟
تشير استمرارية الأعمال والتعافي من الكوارث (BCDR) إلى عملية تساعد المنظمات في العودة إلى العمليات التجارية العادية في حالة التعرض لكارثة. وفي حين أن استمرارية الأعمال والتعافي من الكوارث مرتبطان ارتباطا وثيقا، إلا أنهما يصفان نهجين مختلفين قليلاً لإدارة الأزمات يمكن للشركات اتخاذهما.
مع تزايد تكلفة منع فقدان البيانات وتجنب فترة التعطل تعمل كثير من المجموعات على زيادة استثماراتها في إدارة الطوارئ. في عام 2023، كان من المقرر أن تنفق الشركات في جميع أنحاء العالم 219 مليار دولار أمريكي على الأمن السيبراني، بزيادة قدرها 12% عن العام السابق.
ما خطة التعافي من الكوارث؟
تُعد خطة التعافي من الكوارث (DRP) خطة طوارئ لكيفية تعافي المؤسسة من حدث غير متوقع. وتساعد خطط DRP الشركات في إدارة سيناريوهات الكوارث المختلفة، مثل فترات التعطل الطويلة والكوارث الطبيعية وهجمات برامج الفدية والبرامج الضارة وغيرها الكثير.
ما خطة استمرارية الأعمال؟
على غرار خطط DRP، تؤدي خطط استمرارية الأعمال (BCP) دورًا مهمًا في التعافي من الكوارث وتساعد المنظمات في العودة إلى أداء مهام العمل العادية عند وقوع كارثة. وفي حين تركز خطة DRP بشكل خاص على أنظمة تقنية المعلومات، تركز إدارة استمرارية الأعمال بشكل أوسع على جوانب مختلف من الاستعداد.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
تقسم معظم المنظمات تخطيط BCDR إلى عمليتين منفصلتين: استمرارية الأعمال والتعافي من الكوارث. وهذا النهج فعال لأنه في حين أن العمليتين تشتركان في كثير من الخطوات، إلا أن هناك أيضا اختلافات رئيسية في كيفية إنشاء المنظمات للخطط وتنفيذها واختبارها.
الفرق الرئيسي هو أن خطط BCP استباقية، حيث تهدف إلى الحفاظ على العمليات قبل الكارثة وأثنائها وبعدها مباشرةً. ومن ناحية أخرى، فإن خطط DRP هي خطط تفاعلية، حيث تركز على كيفية الاستجابة والتعافي من الحادث. ويجب أن يوجه هذا التمييز في إنشاء إستراتيجية BCDR، مع تركيز خطط BCP على العمليات والأدوار الهامة، وخطط DRP على إجراءات التعافي بعد الحوادث.
تعتمد كلتا العمليتين بشكل كبير على عنصرين أساسيين: هدف وقت الاسترداد وهدف نقطة الاسترداد.
هدف وقت الاسترداد (RTO)
يشير RTO إلى مقدار الوقت اللازم لاستعادة عمليات الأعمال بعد وقوع حدث غير مخطط له. ويعد إنشاء RTO معقول أحد الأشياء الأولى التي يتعين على الشركات القيام بها عند إنشاء خطة DRP الخاصة بهم.
هدف نقطة الاسترداد (RPO)
إن RPO الخاص بشركتك هو مقدار البيانات التي يمكن أن تخسرها في كارثة وما تزال تتعافى منها. ونظرًا لأن حماية البيانات تُعد قدرة أساسية لكثيرٍ من المؤسسات الحديثة، فإن بعضها يقوم بنسخ البيانات باستمرار إلى مركز بيانات بعيد لضمان استمرارية الأعمال في حالة حدوث اختراق كبير. ويقوم آخرون بتعيين RPO لبضع دقائق—أو حتى ساعات—لاستعادة بيانات الأعمال من نظام النسخ الاحتياطي، حتى يعرفوا أنهم قادرون على استرداد ما فقدوه خلال ذلك الوقت.
كيفية بناء خطة استمرارية الأعمال
1. إجراء تحليل تأثير الأعمال
لبناء خطة BCP فعالة، تحتاج أولاً إلى فهم المخاطر المختلفة التي تواجهها منظمتك. يُعد تحليل تأثير الأعمال (BIA) أمرًا حيويًا في إدارة المخاطر ومرونة الأعمال. كما أنه عملية تحديد وتقييم التأثير المحتمل للكارثة على العمليات العادية. ويتضمن BIA القوي نظرة عامة على جميع التهديدات ونقاط الضعف الحالية المحتملة - الداخلية والخارجية - وخطط مفصلة للتخفيف. ويجب أن يُحدد BIA أيضًا احتمالية وقوع حدث ما حتى تتمكن المنظمة من تحديد الأولويات وفقًا لذلك.
2. تصميم الاستجابات
عند اكتمال BIA الخاص بك، فإن الخطوة التالية في بناء خطة BCP الخاصة بك هي التخطيط لاستجابات فعالة لكل من التهديدات التي حددتها. وتتطلب التهديدات المختلفة بطبيعة الحال استراتيجيات مختلفة للتعافي من الكوارث، لذلك يجب أن يكون لكل استجابة من استجاباتك خطة مفصلة لكيفية اكتشاف المنظمة لتهديد معين والتصدي له.
3. تحديد الأدوار والمسؤوليات الرئيسية
تحدد هذه الخطوة كيفية استجابة الأعضاء الرئيسيين في فريقك عند مواجهة أزمة أو حدث تخريبي. يوثق التوقعات لكل عضو في الفريق وكذلك الموارد المطلوبة لهم لأداء أدوارهم. هذا الجزء من العملية جيد للنظر في كيفية تواصل الأفراد عند وقوع حادث. تؤدي بعض التهديدات إلى إغلاق الشبكات الرئيسية - مثل الاتصال الخلوي أو بالإنترنت - لذلك من المهم أن يكون لديك طرق اتصال احتياطية موثوقة.
4. اختبار الخطو وتحديثها
لكي تكون خطة استمرارية الأعمال والتعافي من الكوارث (BCDR) الخاصة بك قابلة للتنفيذ، فأنت بحاجة إلى التدرب عليها وتحسينها باستمرار، ويؤدي الاختبار والتدريب المستمر للموظفين إلى التنفيذ السلس للخطط عند وقوع كارثة فعلية. واحرص على التمرن على سيناريوهات واقعية مثل الهجمات الإلكترونية، والحرائق، والفيضانات، والأخطاء البشرية، وانقطاع التيار لفترات طويلة والتهديدات الأخرى ذات الصلة، حتى يتمكن أعضاء الفريق من تعزيز الثقة في أدوارهم ومسؤولياتهم.
كيفية بناء خطة التعافي من الكوارث
وعلى غرار خطط BCP، تتطلب خطة DRPs تحليل BIA - تحديد الأدوار والمسؤوليات والاختبار المستمر والتحسين. ولكن نظرًا لأن خطط DRP أكثر تفاعلاً بطبيعتها، فإن هناك تركيزًا أكبر على تحليل المخاطر والنسخ الاحتياطي للبيانات واستعادتها. الخطوتان 2 و3 من تطوير خطط DRP وتحليل المخاطر وإنشاء مخزون للأصول ليست جزءا من عملية تطوير خطة BCP على الإطلاق.
في ما يأتي عملية مكونة من خمس خطوات تُستخدم على نطاق واسع لإنشاء خطط DRP:
1. إجراء تحليل تأثير الأعمال
كما هو الحال في عملية BCP الخاصة بك، ابدأ بتقييم كل تهديد قد تواجهه شركتك وحدد تداعياته. وضع في اعتبارك كيف يمكن أن تؤثر التهديدات المحتملة على العمليات اليومية وقنوات الاتصال المنتظمة وسلامة العمال. تشمل الاعتبارات الأخرى لـ BIA القوي خسارة الإيرادات، وتكلفة فترة التعطل، وتكلفة تحسين السمعة (العلاقات العامة)، وفقدان العملاء والمستثمرين (على المدى القصير والطويل) وأي عقوبات متكبدة من انتهاكات الامتثال.
2. تحليل المخاطر
تتطلب خطط DRP عادةً تقييمًا أكثر دقة للمخاطر من خطط BCP لأن دورها هو التركيز على جهود التعافي من كارثة محتملة. وأثناء جزء تحليل المخاطر في التخطيط، فكر في احتمالية المخاطر وتأثيرها المحتمل على عملك.
3. إنشاء قائمة جرد الأصول
لإنشاء خطة DRP فعالة، يجب أن تعرف بالضبط ما تمتلكه مؤسستك والغرض منه أو وظيفته وحالته، ويساعد إجراء جرد منتظم للأصول في تحديد الأجهزة والبرامج والبنية التحتية لتقنية المعلومات وأي شيء آخر قد تمتلكه منظمتك والذي يعد أمرًا بالغ الأهمية لعمليات أعمالك. وعندما تحدد أصولك، يمكنك تقسيمها إلى ثلاث فئات: بالغة الأهمية، مهمة وغير مهمة.
- بالغة الأهمية: لا تصنف الأصول بأنها بالغة الأهمية إلا إذا كانت مؤسستك تحتاجها في عمليات الأعمال العادية.
- مهم: امنح هذا التصنيف للأصول التي تستخدمها مرة واحدة على الأقل يوميًا والتي سيكون لها تأثير في عمليات الأعمال (ولكن ليس إيقافها بالكامل) إذا تعطلت.
- غير مهمة: هي الأصول التي تستخدمها الشركة بشكل غير متكرر وغير ضرورية لتنفيذ عمليات الأعمال العادية.
4. تحديد الأدوار والمسؤوليات
كما هو الحال تمامًا في تطوير خطة BCP الخاصة بك، ستحتاج إلى تحديد المسؤوليات بوضوح والتأكد من أن أعضاء الفريق لديهم ما يحتاجون إليه لأداء واجباتهم المطلوبة. وبدون هذه الخطوة المهمة، لن يعرف أحد كيف يتصرف أثناء وقوع الكارثة. فيما يلي بعض الأدوار والمسؤوليات التي يجب وضعها في الاعتبار عند إنشاء DRP:
- مراسل الحوادث: الشخص الذي يحتفظ بمعلومات الاتصال الخاصة بالأطراف ذات الصلة ويتواصل مع قادة الأعمال والأطراف المعنية عند وقوع أحداث تؤدي إلى التعطل .
- مشرف خطة DRP: يضمن المشرف على خطة DRP أداء أعضاء الفريق للمهام التي تم تكليفهم بها في أثناء وقوع الحادث.
- مدير الأصول: شخص تتمثل مهمته في تأمين الأصول الحساسة وحمايتها عند وقوع كارثة.
- مسؤول الاتصال مع الجهة الخارجية: الشخص الذي ينسق مع أي موردين أو مزودي خدمات خارجيين قمت بتعيينهم كجزء من خطة DRP التي أعدتها، ويُطلع الأطراف المعنية على كيفية سير خطة DRP.
5. الاختبار والتحسين
وعلى غرار خطة BCP الخاصة بك، تتطلب خطة DRP تدريبًا وتحسينًا مستمرًا لتكون فعالة. احرص على التدرب عليها وتحديثها باستمرار وفقًا لأي تغييرات ذات مغزى ضرورية. فعلى سبيل المثال، إذا استحوذت شركتك على أصل جديد بعد تشكيل خطة DRP، فستحتاج إلى دمجه في خطتك للتأكد من حمايته في المستقبل.
فيما يتعلق بـ BCDR، سيكون لكل شركة مجموعة فريدة من احتياجاتها. وفيما يلي بعض الأمثلة على الخطط الفعالة للشركات ذات الأحجام والصناعات المختلفة:
خطة إدارة الأزمات
خطة إدارة الأزمات، والمعروفة أيضا باسم خطة إدارة الحوادث، هي خطة مفصلة لإدارة حادث معين، حيث توفر تعليمات تفصيلية حول كيفية استجابة منظمتك لأزمة معينة، مثل انقطاع التيار الكهربائي أو الهجوم الإلكتروني أو الكوارث الطبيعية.
خطة الاتصالات
تحدد خطة الاتصالات كيفية تعامل منظمتك مع العلاقات العامة (PR) في حالة وقوع كارثة. وعادة ما يُنسق قادة الأعمال مع متخصصي الاتصالات لصياغة خطط الاتصالات التي تكمل أي أنشطة لإدارة الأزمات واللازمة للحفاظ على استمرار عمليات الأعمال أثناء وقوع حادث غير مخطط له.
خطة استرداد مركز البيانات
تتركز خطة استرداد مركز البيانات على أمن مرفق مركز البيانات وقدرته على استئناف العمل بعد حدث غير مخطط له. وتشمل بعض التهديدات الشائعة التي تواجه تخزين البيانات الموظفين المُجهدين، ما قد يؤدي إلى الخطأ البشري والهجمات الإلكترونية وانقطاع التيار الكهربائي وصعوبة الالتزام بمتطلبات الامتثال.
خطة استعادة الشبكة
تساعد خطط استعادة الشبكة المنظمات في التعافي من انقطاع خدمات الشبكة، بما في ذلك الوصول إلى الإنترنت، وبيانات الخلوية، والشبكات المحلية والشبكات الواسعة. ونظرًا للدور المهم للغاية الذي تلعبه الخدمات الشبكية في عمليات الأعمال، يجب أن تحدد خطط استرداد الشبكة بوضوح الخطوات والأدوار والمسؤوليات اللازمة لاستعادة الخدمات بسرعة وفعالية بعد اختراق الشبكة.
خطة الاسترداد الافتراضية
تعتمد خطة الاسترداد الافتراضية على مثيلات الأجهزة الافتراضية (VM) التي يمكن أن تكون جاهزة للعمل في غضون دقيقتين من الانقطاع. والأجهزة الافتراضية هي تمثيلات أو محاكاة لأجهزة الكمبيوتر الفعلية التي توفر خدمات استرداد التطبيقات الحساسة من خلال التوافر العالي، أو قدرة النظام على العمل بشكل مستمر دون تعطل.
يساعد تخطيط BCDR المنظمات في فهم التهديدات التي تواجهها بشكل أفضل والاستعداد بشكل أفضل لمواجهتها. وتواجه الشركات التي لا تجري تخطيط BCDR مخاطر مختلفة، بما في ذلك فقدان البيانات، والتعطل عن العمل، وعقوبات مالية، وإضرار بالسمعة. ويساعد تخطيط BCDR الفعال في ضمان استمرارية الأعمال والاستعادة السريعة للخدمات بعد تعطل الأعمال. وفيما يلي بعض الميزات التي تتمتع بها الشركات التي لديها تخطيط BCDR قوي:
عندما يتسبب حادث غير مخطط له في تعطيل سير العمل المعتاد، فقد يكلف مئات الملايين من الدولارات. بالإضافة إلى ذلك، فإن الهجمات الإلكترونية البارزة تجذب في كثير من الأحيان اهتمامًا غير مرغوب فيه في الصحافة ويمكن أن تؤدي إلى فقدان الثقة في العملاء والمستثمرين على حد سواء. وتزيد خطط BCDR من قدرة المنظمة على العودة إلى العمل بسرعة وسلاسة بعد وقوع حادث غير مخطط له.
وفقًا لتقرير تكلفة اختراق أمن البيانات الأخير لشركة IBM، بلغ متوسط تكلفة اختراق أمن البيانات في عام 2023 4.45 مليون دولار أمريكي، بزيادة قدرها 15٪ عن السنوات الثلاث السابقة. ويمكن للشركات التي لديها خطة BCDR قوية أن تقلل من هذه التكاليف من خلال المساعدة في الحفاظ على استمرارية الأعمال طوال فترة الحادث وتسريع التعافي بعد ذلك. وهناك فرصة أخرى لتحقيق وفورات في التكاليف مع وجود خطة BCDR قوية من خلال التأمين الإلكتروني، حيث لن تقوم كثير من شركات التأمين بالتأمين على المنظمات التي لم تضع خطة BCDR قوية.
يترتب على اختراق أمن البيانات غرامات باهظة عند اختراق معلومات العملاء الخاصة. وتواجه الشركات التي تعمل في قطاعات شديدة التنظيم مثل الرعاية الصحية والتمويل الشخصي عقوبات مكلفة بشكل خاص. ونظرًا لأن هذه العقوبات غالبًا ما تكون مرتبطة بمدة الاختراق وشدته، فإن الحفاظ على استمرارية الأعمال وتقصير دورات الاستجابة والتعافي أمر بالغ الأهمية لإبقاء العقوبات المالية منخفضة.
الموارد
حماية بياناتك من التهديدات المتطورة بغض النظر عن مكان تخزينها من خلال النسخ الاحتياطي، والكشف المدعوم بالذكاء الاصطناعي للتهديدات، والاسترداد السريع.
يمكنك تسريع عمليات النسخ الاحتياطي والاسترداد في المؤسسة للمساعدة على استرداد البيانات واستعادة خدمات تقنية المعلومات بسرعة لأحمال التشغيل المحلية والسحابية.
حماية بياناتك باستخدام خطة التعافي من الكوارث الخاصة بالسحابة وتخفيف مخاطر فترة التعطل.