نُشر بتاريخ: 21 ديسمبر 2023
المشاركون: Mesh Flinders، وIan Smalley
تشير استمرارية الأعمال والتعافي من الكوارث (BCDR) إلى عملية تساعد المنظمات في العودة إلى العمليات التجارية العادية في حالة التعرض لكارثة. وفي حين أن استمرارية الأعمال والتعافي من الكوارث مرتبطان ارتباطا وثيقا، إلا أنهما يصفان نهجين مختلفين قليلاً لإدارة الأزمات يمكن للشركات اتخاذهما.
مع تزايد تكلفة منع فقدان البيانات وتجنب فترة التعطل، تعمل كثير من المنظمات على زيادة استثماراتها في إدارة الطوارئ. وفي عام 2023، كان من المقرر أن تنفق الشركات في جميع أنحاء العالم 219 مليار دولار أمريكي على الأمن الإلكتروني، بزيادة قدرها 12٪ عن العام السابق وفقًا لتقرير حديث صادر عن شركة البيانات الدولية.
ما هي خطة التعافي من الكوارث؟
خطة التعافي من الكوارث (DRP) هي خطة طوارئ لكيفية تعافي المؤسسة من حدث غير متوقع. وتساعد خطط DRP الشركات في إدارة سيناريوهات الكوارث المختلفة، مثل فترات التعطل الطويلة والكوارث الطبيعية وهجمات برامج الفدية والبرامج الضارة وغيرها الكثير.
ما هي خطة استمرارية الأعمال؟
على غرار خطط DRP، تؤدي خطط استمرارية الأعمال (BCP) دورًا مهمًا في التعافي من الكوارث وتساعد المنظمات في العودة إلى أداء مهام العمل العادية عند وقوع كارثة. وفي حين تركز خطة DRP بشكل خاص على أنظمة تقنية المعلومات، تركز إدارة استمرارية الأعمال بشكل أوسع على جوانب مختلف من الاستعداد.
بادر بتوصيل أنظمتك ودمجها لإعداد بنيتك التحتية للذكاء الاصطناعي.
تقسم معظم المنظمات تخطيط BCDR إلى عمليتين منفصلتين: استمرارية الأعمال والتعافي من الكوارث. وهذا النهج فعال لأنه في حين أن العمليتين تشتركان في كثير من الخطوات، إلا أن هناك أيضا اختلافات رئيسية في كيفية إنشاء المنظمات للخطط وتنفيذها واختبارها.
والفرق الرئيسي هو أن خطط BCP استباقية، حيث تهدف إلى الحفاظ على العمليات قبل الكارثة وأثنائها وبعدها مباشرةً. ومن ناحية أخرى، فإن خطط DRP هي خطط تفاعلية، حيث تركز على كيفية الاستجابة والتعافي من الحادث. يجب أن يوجه هذا التمييز في إنشاء استراتيجية BCDR، مع تركيز خطط BCP على العمليات والأدوار الهامة، وخطط DRP على إجراءات التعافي بعد الحوادث.
تعتمد كلتا العمليتين بشكل كبير على عنصرين أساسيين: هدف وقت الاسترداد وهدف نقطة الاسترداد.
هدف وقت الاسترداد (RTO)
يشير RTO إلى مقدار الوقت اللازم لاستعادة عمليات الأعمال بعد وقوع حدث غير مخطط له. ويعد إنشاء RTO معقول أحد الأشياء الأولى التي يتعين على الشركات القيام بها عند إنشاء خطة DRP الخاصة بهم.
هدف نقطة الاسترداد (RPO)
هدف نقطة الاسترداد (RPO) الخاص بشركتك هو مقدار البيانات التي يمكن أن تخسرها في كارثة وماتزال تتعافى منها. ونظرًا لأن حماية البيانات تمثل قدرة أساسية لكثير من المؤسسات الحديثة، فتحرص بعضها على نسخ البيانات باستمرار إلى مركز بيانات بعيد لضمان الاستمرارية في حالة حدوث اختراق كبير. وتقوم مؤسسات أخرى بتعيين RPO لبضع دقائق - أو حتى ساعات - لاستعادة بيانات العمل من نظام النسخ الاحتياطي، ليدركوا أنهم قادرون على التعافي من كل ما فقدوه خلال ذلك الوقت.
1. إجراء تحليل تأثير الأعمال
لبناء خطة BCP فعالة، تحتاج أولاً إلى فهم المخاطر المختلفة التي تواجهها منظمتك. يُعد تحليل تأثير الأعمال (BIA) أمرًا حيويًا في إدارة المخاطر ومرونة الأعمال. كما أنه عملية تحديد وتقييم التأثير المحتمل للكارثة على العمليات العادية. ويتضمن BIA القوي نظرة عامة على جميع التهديدات ونقاط الضعف الحالية المحتملة - الداخلية والخارجية - وخطط مفصلة للتخفيف. ويجب أن يُحدد BIA أيضًا احتمالية وقوع حدث ما حتى تتمكن المنظمة من تحديد الأولويات وفقًا لذلك.
2. تصميم الاستجابات
عند اكتمال BIA الخاص بك، فإن الخطوة التالية في بناء خطة BCP الخاصة بك هي التخطيط لاستجابات فعالة لكل من التهديدات التي حددتها. وتتطلب التهديدات المختلفة بطبيعة الحال استراتيجيات مختلفة للتعافي من الكوارث، لذلك يجب أن يكون لكل استجابة من استجاباتك خطة مفصلة لكيفية اكتشاف المنظمة لتهديد معين والتصدي له.
3. تحديد الأدوار والمسؤوليات الرئيسية
تحدد هذه الخطوة كيفية استجابة الأعضاء الرئيسيين في فريقك عند مواجهة أزمة أو حدث تخريبي. يوثق التوقعات لكل عضو في الفريق وكذلك الموارد المطلوبة لهم لأداء أدوارهم. هذا الجزء من العملية جيد للنظر في كيفية تواصل الأفراد عند وقوع حادث. تؤدي بعض التهديدات إلى إغلاق الشبكات الرئيسية - مثل الاتصال الخلوي أو بالإنترنت - لذلك من المهم أن يكون لديك طرق اتصال احتياطية موثوقة.
4. اختبار خطتك وتحديثها
ولكي تكون خطة BCDR قابلة للتنفيذ، عليك أن تتدرب باستمرار عليها وتحسنها. ويؤدي الاختبار والتدريب المستمر للموظفين إلى التنفيذ السلس للخطط عند وقوع كارثة فعلية. واحرص على التمرن على سيناريوهات واقعية مثل الهجمات الإلكترونية، والحرائق، والفيضانات، والأخطاء البشرية، وانقطاع التيار لفترات طويلة والتهديدات الأخرى ذات الصلة، حتى يتمكن أعضاء الفريق من تعزيز الثقة في أدوارهم ومسؤولياتهم.
وعلى غرار خطط BCP، تتطلب خطة DRPs تحليل BIA - تحديد الأدوار والمسؤوليات والاختبار المستمر والتحسين. ولكن نظرًا لأن خطط DRP أكثر تفاعلاً بطبيعتها، فإن هناك تركيزًا أكبر على تحليل المخاطر والنسخ الاحتياطي للبيانات واستعادتها. الخطوتان 2 و3 من تطوير خطط DRP وتحليل المخاطر وإنشاء مخزون للأصول ليست جزءا من عملية تطوير خطة BCP على الإطلاق.
فيما يلي عملية مكونة من خمس خطوات تُستخدم على نطاق واسع لإنشاء خطة تعافي من الكوارث:
1. إجراء تحليل تأثير الأعمال
كما هو الحال في عملية BCP الخاصة بك، ابدأ بتقييم كل تهديد قد تواجهه شركتك وحدد تداعياته. وضع في اعتبارك كيف يمكن أن تؤثر التهديدات المحتملة على العمليات اليومية وقنوات الاتصال المنتظمة وسلامة العمال. تشمل الاعتبارات الأخرى لـ BIA القوي خسارة الإيرادات، وتكلفة فترة التعطل، وتكلفة تحسين السمعة (العلاقات العامة)، وفقدان العملاء والمستثمرين (على المدى القصير والطويل) وأي عقوبات متكبدة من انتهاكات الامتثال.
2. تحليل المخاطر
تتطلب خطط DRP عادةً تقييمًا للمخاطر أكثر دقة من تلك التي تتطلبها خطط BCP نظرًا إلى أن دورها يتمثل في التركيز على جهود التعافي من الكوارث المحتملة. وأثناء جزء تحليل المخاطر في التخطيط، فكر في احتمالية المخاطر وتأثيرها المحتمل على عملك.
3. إنشاء قائمة جرد الأصول
لإنشاء خطة DRP فعالة، يجب أن تعرف بالضبط ما تمتلكه مؤسستك والغرض منه أو وظيفته وحالته، حيث يُساعد إجراء جرد منتظم للأصول في تحديد الأجهزة والبرامج والبنية التحتية لتقنية المعلومات وأي شيء آخر قد تمتلكه منظمتك وهو أمر بالغ الأهمية لعمليات عملك. وعندما تحدد أصولك، يمكنك تقسيمها إلى ثلاث فئات: بالغة الأهمية، مهمة وغير مهمة.
- بالغة الأهمية: لا تصنف الأصول بأنها بالغة الأهمية إلا إذا كانت مؤسستك تحتاجها في عمليات الأعمال العادية.
- مهم: امنح هذه التصنيف للأصول التي تستخدمها مرة واحدة على الأقل يوميًا والتي سيكون لها تأثير على عمليات الأعمال (ولكن ليس إيقافها بالكامل) إذا تعطلت.
- غير مهمة: هي الأصول التي تستخدمها الشركة بشكل غير متكرر وغير ضرورية لتنفيذ عمليات الأعمال المعتادة.
4. تحديد الأدوار والمسؤوليات
كما هو الحال تمامًا في تطوير خطة BCP الخاصة بك، ستحتاج إلى تحديد المسؤوليات بوضوح والتأكد من أن أعضاء الفريق لديهم ما يحتاجون إليه لأداء واجباتهم المطلوبة. وبدون هذه الخطوة المهمة، لن يعرف أحد كيف يتصرف أثناء وقوع الكارثة. فيما يلي بعض الأدوار والمسؤوليات التي يجب وضعها في الاعتبار عند إنشاء DRP:
- مراسل الحوادث: الشخص الذي يحتفظ بمعلومات الاتصال الخاصة بالأطراف ذات الصلة ويتواصل مع قادة الأعمال والأطراف المعنية عند وقوع أحداث تؤدي إلى التعطل.
- مشرف خطة DRP: يضمن المشرف على خطة DRP أداء أعضاء الفريق للمهام التي تم تكليفهم بها أثناء وقوع الحادث.
- مدير الأصول: شخص تتمثل مهمته في تأمين وحماية الأصول الحساسة عند وقوع كارثة.
- مسؤول الاتصال مع الطرف الثالث: الشخص الذي ينسق مع أي بائعين أو مزودي خدمات خارجيين قمت بتعيينهم كجزء من خطة DRP التي أعدتها، ويُطلع الأطراف المعنيين على كيفية سير خطة DRP.
5. الاختبار والتحسين
وعلى غرار خطة BCP الخاصة بك، تتطلب خطة DRP تدريبًا وتحسينًا مستمرًا لتكون فعالة. احرص على التدرب عليها وتحديثها باستمرار وفقًا لأي تغييرات ذات مغزى ضرورية. فعلى سبيل المثال، إذا استحوذت شركتك على أصل جديد بعد تشكيل خطة DRP، فستحتاج إلى دمجه في خطتك للتأكد من حمايته في المستقبل.
فيما يتعلق بـ BCDR، سيكون لكل شركة مجموعة فريدة من احتياجاتها. وفيما يلي بعض الأمثلة على الخطط الفعالة للشركات ذات الأحجام والصناعات المختلفة:
خطة إدارة الأزمات
خطة إدارة الأزمات، والمعروفة أيضا باسم خطة إدارة الحوادث، هي خطة مفصلة لإدارة حادث معين، حيث توفر تعليمات تفصيلية حول كيفية استجابة منظمتك لأزمة معينة، مثل انقطاع التيار الكهربائي أو الهجوم الإلكتروني أو الكوارث الطبيعية.
خطة الاتصالات
تحدد خطة الاتصالات كيفية تعامل منظمتك مع العلاقات العامة (PR) في حالة وقوع كارثة. وعادة ما يُنسق قادة الأعمال مع متخصصي الاتصالات لصياغة خطط الاتصالات التي تكمل أي أنشطة لإدارة الأزمات واللازمة للحفاظ على استمرار عمليات الأعمال أثناء وقوع حادث غير مخطط له.
خطة استرداد مركز البيانات
تتركز خطة استرداد مركز البيانات على أمن مركز بيانات وقدرته على استئناف العمل بعد حدث غير مخطط له. وتتضمن بعض التهديدات الشائعة لتخزين البيانات، الموظفين المرهقين والهجمات الإلكترونية وانقطاع التيار الكهربائي وصعوبة اتباع متطلبات الامتثال.
خطة استعادة الشبكة
تساعد خطط استعادة الشبكة المنظمات في التعافي من انقطاع خدمات الشبكة، بما في ذلك الوصول إلى الإنترنت، وبيانات الخلوية، والشبكات المحلية والشبكات الواسعة. ونظرًا للدور المهم للغاية الذي تلعبه الخدمات الشبكية في عمليات الأعمال، يجب أن تحدد خطط استرداد الشبكة بوضوح الخطوات والأدوار والمسؤوليات اللازمة لاستعادة الخدمات بسرعة وفعالية بعد اختراق الشبكة.
خطة التعافي الافتراضية
تعتمد خطة التعافي الافتراضية على مثيلات الجهاز الافتراضي Virtual Machines التي يمكن أن تكون جاهزة للعمل في غضون دقيقتين من الانقطاع. والأجهزة الافتراضية هي تمثيلات أو محاكاة لأجهزة الكمبيوتر الفعلية التي توفر خدمات تعافي التطبيقات المهمة من خلال التوافر العالي، أو قدرة النظام على العمل بشكل مستمر دون انقطاع.
يساعد تخطيط BCDR المنظمات في فهم التهديدات التي تواجهها بشكل أفضل والاستعداد بشكل أفضل لمواجهتها. وتواجه الشركات التي لا تجري تخطيط BCDR مخاطر مختلفة، بما في ذلك فقدان البيانات، والتعطل عن العمل، وعقوبات مالية، وإضرار بالسمعة. ويساعد تخطيط BCDR الفعال في ضمان استمرارية الأعمال والاستعادة السريعة للخدمات بعد تعطل الأعمال. وفيما يلي بعض الميزات التي تتمتع بها الشركات التي لديها تخطيط BCDR قوي:
عندما يتسبب حادث غير مخطط له في تعطيل سير العمل المعتاد، فقد يكلف مئات الملايين من الدولارات. بالإضافة إلى ذلك، فإن الهجمات الإلكترونية البارزة تجذب في كثير من الأحيان اهتمامًا غير مرغوب فيه في الصحافة ويمكن أن تؤدي إلى فقدان الثقة في العملاء والمستثمرين على حد سواء. وتزيد خطط BCDR من قدرة المنظمة على العودة إلى العمل بسرعة وسلاسة بعد وقوع حادث غير مخطط له.
وفقًا لتقرير تكلفة اختراق أمن البيانات الأخير لشركة IBM، بلغ متوسط تكلفة اختراق أمن البيانات في عام 2023 4.45 مليون دولار أمريكي، بزيادة قدرها 15٪ عن السنوات الثلاث السابقة. ويمكن للشركات التي لديها خطة BCDR قوية أن تقلل من هذه التكاليف من خلال المساعدة في الحفاظ على استمرارية الأعمال طوال فترة الحادث وتسريع التعافي بعد ذلك. وهناك فرصة أخرى لتحقيق وفورات في التكاليف مع وجود خطة BCDR قوية من خلال التأمين الإلكتروني، حيث لن تقوم كثير من شركات التأمين بالتأمين على المنظمات التي لم تضع خطة BCDR قوية.
يترتب على اختراق أمن البيانات غرامات باهظة عند اختراق معلومات العملاء الخاصة. وتواجه الشركات التي تعمل في قطاعات شديدة التنظيم مثل الرعاية الصحية والتمويل الشخصي عقوبات مكلفة بشكل خاص. ونظرًا لأن هذه العقوبات غالبًا ما تكون مرتبطة بمدة الاختراق وشدته، فإن الحفاظ على استمرارية الأعمال وتقصير دورات الاستجابة والتعافي أمر بالغ الأهمية لإبقاء العقوبات المالية منخفضة.
حتى التوقف المحدود قد يضعك في وضع تنافسي غير مواتٍ. احمِ بياناتك باستخدام خطة التعافي من الكوارث السحابية.
استخدم وجهة متينة للغاية وقابلة للتوسع وآمنة تمامًا لنسخ بياناتك احتياطيًا.
قم بتوسيع السعة ودمج البنية التحتية لمركز البيانات في مركز بيانات معرف بالبرامج مؤتمت ومدار مركزيًا باستخدام حلول IBM Cloud for VMware Solutions.
هناك كثير من العوامل التي يجب مراعاتها عند تحديد ما إذا كنت تريد الاستثمار في حلول التعافي من الكوارث (DR) المحلية وإدارتها أو استخدام موفري خدمة التعافي من الكوارث (DRaaS).
يشير النسخ الاحتياطي والاستعادة إلى التقنيات والممارسات الخاصة بعمل نسخ دورية من البيانات والتطبيقات إلى جهاز ثانوي منفصل ثم استخدام هذه النسخ لاستعادة البيانات والتطبيقات.
هناك أوجه تشابه واختلاف مهمة بين التعافي من الكوارث والنسخ الاحتياطي، حيث يمكن أن يساعدك هذان الحلان في حل أهم مشاكل عملك.
يشتمل التعافي من الكوارث (DR) على تقنيات المعلومات وأفضل الممارسات المصممة لمنع فقدان البيانات وتعطيل الأعمال الناتج عن الأحداث الكارثية أو تقليله.
يُساعد Zerto العملاء في الوصول إلى قدرات قوية للتعافي من الكوارث وحماية البيانات مع الاستفادة من خفة ومرونة IBM Cloud for VMware solutions shared بنقرة واحدة.
تم تصميم مشاركة استمرارية الأعمال والمرونة من IBM لمساعدتك في تمكين استئناف عملياتك التجارية بسرعة والحفاظ على جودة خدماتك الحالية في حالة انقطاع الخدمة.