ما المقصود بالمرونة التشغيلية؟

الأحداث الكبرى المعطلة—سواء كانت هجمات إلكترونية أو انقطاع التيار الكهربائي أو أعطال الأنظمة—تُعد أمرًا لا مفر منه. فلا توجد مؤسسة أو شركة محصنة من حدوث ذلك. لا تقتصر المرونة التشغيلية على التعافي من الكوارث من خلال إدارة الأحداث غير المتوقعة بشكل استباقي. يتطلب هذا النهج تحديد الخدمات الأكثر أهمية للأعمال وضمان استقرارها واستعادتها بسرعة.

تعمل الشركات بشكل متزايد على تحقيق المرونة التشغيلية. وفقًا لأبحاث صادرة عن BCI وRiskonnect، أصبح الآن لدى 70% من المؤسسات برامج مرونة تشغيلية، و10% أخرى في طور تطويرها.¹ ويُعد الالتزام بأفضل الممارسات هو العامل الأكثر شيوعًا وراء تطوير هذه الإستراتيجيات، ويحتل الامتثال التنظيمي المركز الثاني.

بينما تُعد المرونة التشغيلية ضرورية لجميع الشركات، تتطلب بعض المجالات إمكانات فائقة. تُعد المؤسسات المالية عرضة بشكل خاص للحوادث الأمنية والمخاطر الإلكترونية. ويجب عليهم حماية بيانات العملاء، والحفاظ على استقرار النظام المالي، والامتثال للوائح الصارمة، وإلا فقد يفقدون سمعتهم وثقة العملاء. وبالمثل، فإن مؤسسات الرعاية الصحية مسؤولة عن ضمان استمرارية الرعاية في أثناء الأحداث السلبية، مع تلبية متطلبات الخصوصية لبيانات المرضى الحساسة.

أصبحت المرونة التشغيلية أمرًا بالغ الأهمية في عالم الأعمال الحديث لأسباب عديدة. ففي عالم رقمي "يعمل دائمًا"، من المتوقع أن تتغلب المؤسسات على أي عطل تشغيلي يواجهها، حيث تؤدي كل ثانية من التعطل إلى خسائر مالية وثغرات أمنية ومخاطر على الأعمال.

لقد سلطت الأحداث الكارثية الكبرى، سواء كانت أوبئة أو كوارث طبيعية، الضوء على الحاجة إلى المرونة التشغيلية. كما أن النشاط التنظيمي في جميع أنحاء العالم آخذ في الازدياد، حيث تصدر الحكومات وغيرها من السلطات التوجيهات والقوانين واللوائح لضمان قدرة الشركات على توقع الأحداث السلبية والتعافي منها بسرعة.

مع استمرار استخدام الشركات للذكاء الاصطناعي (AI) واعتمادها على الشراكات للحفاظ على التنافسية، يجب على المؤسسات ضمان أن هذه الارتباطات تلبي نفس معايير أمن المعلومات والمرونة والرقابة التي تطالب بها هي وجهاتها التنظيمية.

كما أن مجال التهديدات الإلكترونية آخذ في التطور أيضًا. فوفقًا لتقرير IBM X-Force Threat Intelligence Index لعام 2024، أصبح المهاجمون ينتقلون من برامج الفدية إلى البرامج الضارة المصممة لسرقة المعلومات.

وبغض النظر عن المجال، يجب أن يكون كل من الثقة والأمان الركيزة الأساسية لصناعة القرار بشأن أماكن استضافة أحمال التشغيل والبيانات.

المرونة التشغيلية، وإدارة استمرارية الأعمال (BCM)، والتعافي من الكوارث كلها إستراتيجيات لحماية الشركات، لكنها عمليات منفصلة.

تشير إستراتيجية استمرارية الأعمال إلى مدى قدرة المؤسسة على الحفاظ على وظائف الأعمال الحيوية واستئناف العمليات الطبيعية، مع تقليل فترات التعطل في مواجهة الأزمات. تركز إدارة استمرارية الأعمال على وضع خطط وإجراءات مفصلة لضمان استمرارية عمليات الأعمال الأساسية في أثناء فشل سلسلة التوريد، أو الأوبئة، أو أي حوادث أخرى غير متوقعة.

تُعد خطط التعافي من الكوارث أكثر تقنية وتركيزًا على تكنولوجيا المعلومات. يشتمل التعافي من الكوارث (DR) على تقنيات تكنولوجيا المعلومات وأفضل الممارسات المصممة لمنع أو تقليل فقدان البيانات وتعطل الأعمال الناتج عن الأحداث الكارثية مثل تعطل المعدات أو الهجمات الإلكترونية أو تضرر المنشآت.

ويركز على نقاط الفشل المنعزلة التي قد تعطل العمليات الحيوية، وعادةً ما يكون ذلك في مركز البيانات، سواء في البيئات المحلية أو على السحابة. يحدد نظام التعافي من الكوارث (DR) أهدافًا محددة لوقت التعافي (RTO) وأهدافًا لنقاط التعافي (RPO) لاستعادة أنظمة المعلومات والبيانات.

ومن الجدير بالذكر أن استمرارية الأعمال والتعافي من الكوارث (BCDR) غالبًا ما يُدمجان في إستراتيجيات متكاملة، لكن يمكن أيضًا استخدامهما بشكل منفصل حسب أهداف الأعمال.

خطة المرونة التشغيلية هي إستراتيجية أوسع تشير إلى مدى قدرة الشركة على التنبؤ بخدماتها ووظائفها الحيوية والحفاظ عليها واستعادتها في مواجهة التحديات. بينما يركز كل من التعافي من الكوارث وإدارة استمرارية الأعمال عادةً على سيناريوهات وخطط تعافٍ محددة، تشمل المرونة التشغيلية مجموعة كاملة من العوامل (مثل الأشخاص، والعمليات، والتقنيات، وسلاسل التوريد) التي تدعم تشغيل وتقديم خدمات الأعمال. وقد تطورت لمواجهة التهديدات متزايدة التعقيد.

في الآونة الأخيرة، أصبحت المرونة التشغيلية أولوية تنظيمية لدى الحكومات وغيرها من الكيانات حول العالم. فهي توجه المجالات الخاضعة للتنظيم الصارم (مثل شركات الخدمات المالية، والبُنى التحتية للأسواق المالية) في أثناء إدارتها لمتطلبات الخصوصية، والمرونة الإلكترونية، والأمان، وسيادة البيانات.

لحماية المصلحة العامة، وضعت هذه الهيئات التنظيمية ممارسات موحدة لضمان معرفة المؤسسات لثغراتها الأمنية والاستثمار في تدابير الحماية من أجل الاستقرار المالي.

في الولايات المتحدة، أصدر بنك الاحتياطي الفيدرالي وجهات تنظيمية مصرفية أخرى إرشادات حول ممارسات المرونة التشغيلية. وعلى الصعيد الدولي، أنشأت لوائح مثل قانون المرونة التشغيلية الرقمية (DORA) الصادر عن الاتحاد الأوروبي أطرًا شاملة وملزمة لإدارة مخاطر تكنولوجيا المعلومات والاتصالات (ICT) للمؤسسات المالية ومزودي الخدمات التقنية الحيوية الخارجيين.

تتطلب المرونة التشغيلية نهجًا شاملاً عبر مجالات مترابطة تشمل ما يلي:

• إطار إدارة المخاطر: تشكل ممارسات إدارة المخاطر التشغيلية الركيزة الأساسية في مواجهة التهديدات الداخلية والخارجية على حد سواء. يجب على المؤسسات تحديد المخاطر التشغيلية وتقييمها وتقليلها باستمرار، بدءًا من الأخطاء البشرية وصولاً إلى أعطال التكنولوجيا والأنظمة. تُمكّن إدارة المخاطر الفعالة المؤسسات من توقع المخاطر المحتملة ووضع الإستراتيجيات لتقليل تأثيرها.
• التكنولوجيا والأنظمة: يُعد تطوير بنية تحتية فائقة لتكنولوجيا المعلومات أمرًا ضروريًا. يجب أن تكون أنظمة تكنولوجيا المعلومات والتطبيقات والبيانات وضوابط الأمن الإلكتروني فائقة بما يكفي لتحمل الانقطاعات والتعافي بسرعة إذا حدثت حوادث تشغيلية.
• الأشخاص والعمليات: يضمن وجود الموظفين المهرة، والإجراءات المحددة جيدًا، والتدريب الفعال أن تتمكن جميع الأطراف المعنية من الاستجابة بشكل مناسب خلال الأزمات والحفاظ على الوظائف الحيوية والسيادة الرقمية.
• المرافق والبنية التحتية: يجب حماية المواقع المادية مثل مراكز البيانات وأنظمة الطاقة وبنية الشبكات التحتية وتجهيزها بإمكانات النسخ الاحتياطي لدعم التعافي من الكوارث واستمرارية الأعمال.
• الارتباطات الخارجية: يقدم الموردون، ومزودو الخدمات السحابية، وشركاء التعهيد ارتباطات تتطلب تطبيق ممارسات إدارة المخاطر الخارجية لضمان تلبيتهم لمعايير المرونة.

تبني المؤسسات المرونة التشغيلية عبر جميع المجالات الرئيسية من خلال دورة حياة مستمرة واستباقية مكونة من أربع مراحل.

يجب على المؤسسات تحديد وظائف الأعمال الحيوية، والتهديدات المحتملة، والثغرات الأمنية عبر نظام تكنولوجيا المعلومات بأكمله (على سبيل المثال، البيئات المحلية، أو السحابة الخاصة، والسحابة السيادية، والسحابة العامة، والحافة).

يتضمن هذا النهج إجراء تقييمات للمخاطر الإلكترونية، ونمذجة التهديدات، وتحليلات تأثير الأعمال (BIA) لتحديد الثغرات الأمنية المحتملة والوظائف المهمة.

خلال هذه المرحلة، تُطور إستراتيجيات لوقف أو تقليل تأثير الاضطرابات المحتملة وتُنفذ. وتتضمن دمج سياسات أمنية صارمة وتدريب الموظفين واستخدام حلول تكنولوجيا المعلومات المتخصصة لمنع وقوع الحوادث.

تشير هذه المرحلة إلى تفعيل خطط الاستجابة للحوادث واستمرارية الأعمال لإدارة الأزمات المستمرة واستعادة الوظائف الأساسية بسرعة.

الهدف منها هو تقليل التأثيرات والصدمات المفاجئة وضمان استمرارية الخدمات الحيوية.

بعد وقوع الحوادث، يجب على المؤسسات تحليل ما حدث، وجمع البيانات، وتقييم مدى فعالية الخطة، ومعالجة الثغرات المحددة لتحسين إمكانات مرونتها.

يتطلب تنفيذ المرونة التشغيلية إستراتيجية متماسكة تشمل النظام بأكمله—الفرق الداخلية، والعمليات، والأنظمة التقنية، والجهات الثالثة والرابعة.

تواجه العديد من المؤسسات عقبات مثل البيانات المعزولة، والبنية التحتية القديمة، وتعقيد اختبار التحمل على نطاق واسع من دون تعطيل عمليات الأعمال الحيوية.

تعالج الخطة الشاملة هذه المشكلات من خلال الخطوات الرئيسية المقدمة لاحقًا.

ابدأ بتحديد الخدمات الأساسية لعملك والتي من شأنها أن تسبب أكبر ضرر في حال تعطلها. حدد نسب ومقاييس تحمل التأثير. 

من المهم عدم التركيز فقط على الاعتبارات التقنية للشركة؛ تأكد من مراعاة التأثير في العملاء والإيرادات والسمعة.

وثّق كيفية ترابط الأنظمة والأشخاص والعمليات. يساعد فهم هذه التبعية والارتباط المتبادل على تحديد التفاعلات المتسلسلة المحتملة، مثل انقطاع مزود الخدمة الخارجي الذي يؤثر في أنظمة داخلية متعددة في وقت واحد.

يمكن لأدوات تحديد الارتباطات الحديثة أتمتة الرؤية عبر البيئات المعقدة والموزعة.

حدد نقاط الفشل المهمة، مثل الاعتماد على مركز بيانات واحد. أنشئ لغة مخاطر مشتركة عبر المؤسسة باستخدام مصطلحات موحدة ومقاييس تقييم المخاطر التي تتيح التواصل المتسق بين الفرق التقنية وقادة الأعمال ومجلس الإدارة.

فكر في كل من التهديدات التقليدية (مثل أعطال الأجهزة) والتهديدات الناشئة (مثل البرامج الضارة المتطورة). يمكن للمراقبة والتحليلات المدعومة بالذكاء الاصطناعي أن تساعد على اكتشاف الثغرات الأمنية ونقاط الفشل المحتملة عبر البنية التحتية الحيوية.

أنشئ إطارًا لحوكمة بيانات يحدد بوضوح ملكية الإدارة العليا. حدد الأدوار والمسؤوليات بوضوح (مع وضع تدابير المساءلة) لإعطاء الأولوية لأنشطة المرونة التشغيلية.

يجب على القيادة أيضًا تحديد مدى تحمل المؤسسة للمخاطر لتحديد استثمارات وأولويات المرونة.

أجرِ اختبارًا للسيناريوهات للتحقق من إمكانات الاستجابة لديك. تساعد التدريبات والتمارين المتكررة على ضمان جاهزية الفرق وضمان بقاء خطط الطوارئ فعالة في حال وقوع حوادث أو أعطال إلكترونية.

تساعد الحوادث الفعلية وتمارين الاختبار على تحديد الثغرات. تساعد التقييمات والتعديلات الروتينية على تعزيز إمكانات المرونة ومواكبة التهديدات المستمرة والتغيرات في العمل.

ادمج الامتثال في إستراتيجيتك منذ البداية. احرص على مواءمة عملك مع اللوائح ذات الصلة واستخدم أطر المجال مثل NIST.

يمكن أن تساعد أتمتة مراقبة الامتثال على إثبات الامتثال المستمر للمتطلبات التنظيمية.