استمرارية الأعمال مقابل التعافي من الكوارث: ما الخطة المناسبة لك؟
تعد خطط استمرارية الأعمال والتعافي من الكوارث استراتيجيات لإدارة المخاطر تعتمد عليها الشركات للاستعداد للحوادث غير المتوقعة. وعلى الرغم من ارتباط المصطلحات ارتباطًا وثيقًا، إلا أن هناك بعض الاختلافات الرئيسية التي تستحق الأخذ في الاعتبار عند اختيار ما هو مناسب لك:
- خطة استمرارية الأعمال (BCP): خطة استمرارية الأعمال هي خطة مفصلة تحدد الخطوات التي ستتخذها المؤسسة للعودة إلى وظائف العمل العادية في حالة وقوع كارثة. وفي حين أن الأنواع الأخرى من الخطط قد تركز على جانب واحد محدد من جوانب التعافي ومنع الانقطاع (مثل الكوارث الطبيعية أو الهجمات الإلكترونية)، فإن خطط استمرارية الأعمال تتخذ نهجاً واسع النطاق وتهدف إلى ضمان قدرة المؤسسة على مواجهة مجموعة واسعة من التهديدات قدر الإمكان.
- خطة التعافي من الكوارث (DRP): وهي أكثر تفصيلاً في طبيعتها من خطط استمرارية الأعمال، تتكون خطط التعافي من الكوارث من خطط طوارئ تهتم بكيفية حماية المؤسسات لأنظمة تكنولوجيا المعلومات والبيانات الحساسة على وجه التحديد أثناء الانقطاع. إلى جانب خطط استمرارية الأعمال، تساعد خطط التعافي من الكوارث الشركات على حماية البيانات وأنظمة تكنولوجيا المعلومات من العديد من سيناريوهات الكوارث المختلفة، مثل الانقطاعات الهائلة والكوارث الطبيعية وهجمات برامج الفدية والبرامج الضارة وغيرها الكثير.
- استمرارية الأعمال والتعافي من الكوارث (BCDR): يمكن التعامل معاستمرارية الأعمال والتعافي من الكوارث (BCDR) معًا أو بشكل منفصل اعتمادًا على احتياجات العمل. وفي الآونة الأخيرة، يتزايد عدد الشركات التي تتجه نحو ممارسة هذين المجالين معاً، وتطلب من المديرين التنفيذيين التعاون بشأن ممارسات استمرارية الأعمال وممارسات التعافي من الكوارث بدلاً من عمل كل منهما بمعزل عن الآخر. وقد أدى ذلك إلى دمج المصطلحين في مصطلح واحد، هو استمرارية الأعمال والتعافي من الكوارث (BCDR)، لكن المعنى الأساسي للممارستين لم يتغير.
بغض النظر عن الطريقة التي تختارها لتطوير استمرارية الأعمال والتعافي من الكوارث (BCDR) في مؤسستك، تجدر الإشارة إلى مدى سرعة نمو هذا المجال في جميع أنحاء العالم. ونظراً لأن النتائج المترتبة على سوء خطط تطوير استمرارية الأعمال والتعافي من الكوارث (BCDR) مثل فقدان البيانات والتوقف عن العمل تصبح أكثر تكلفة، فإن العديد من الشركات تضيف إلى استثماراتها الحالية. في العام الماضي، كانت الشركات في جميع أنحاء العالم على استعداد لإنفاق 219 مليار دولار أمريكي على الأمن الإلكتروني والحلول، وهو ما يمثل زيادة بنسبة 12% عن العام السابق وفقًا لتقرير حديث صادر عن شركة البيانات الدولية (IDC) (الرابط موجود خارج موقع ibm.com).
تساعد خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) المؤسسات على الاستعداد لمجموعة واسعة من الحوادث غير المخطط لها. عند نشرها بشكل فعال، يمكن أن تساعد خطة التعافي من الكوارث الجيدة الأطراف المعنية على فهم المخاطر التي قد يشكلها تهديد معين على وظائف الأعمال العادية بشكل أفضل. من المرجح أن تتعرض الشركات التي لا تستثمر في استمرارية الأعمال والتعافي من الكوارث (BCDR) لفقدان البيانات وفترة التعطل والعقوبات المالية والضرر بالسمعة بسبب الحوادث غير المخطط لها.
فيما يلي بعض الفوائد التي يمكن أن تتوقعها الشركات التي تستثمر في خطط استمرارية الأعمال والتعافي من الكوارث:
- تقصير وقت التعطل: عندما تتسبب كارثة في إيقاف العمليات التجارية العادية، يمكن أن تكلف الشركات مئات الملايين من الدولارات لإعادة تشغيلها مرة أخرى. وتُعد الهجمات الإلكترونية رفيعة المستوى ضارة بشكل خاص، حيث تجتذب في كثير من الأحيان اهتمامًا غير مرغوب فيه وتتسبب في فرار المستثمرين والعملاء إلى المنافسين الذين يعلنون عن فترات تعطل أقصر. إن تنفيذ خطة قوية لاستراتيجية استمرارية الأعمال والتعافي من الكوارث يمكن أن يختصر الإطار الزمني للتعافي بغض النظر عن نوع الكارثة التي تواجهها.
- مخاطر مالية أقل: وفقا لتقرير تكلفة اختراق أمن البيانات الأخير لشركة IBM، بلغ متوسط تكلفة اختراق أمن البيانات 4.45 مليون دولار أمريكي في عام 2023 - بزيادة قدرها 15٪ منذ عام 2020. وقد أظهرت الشركات التي لديها خطط قوية لاستمرارية الأعمال أنها قادرة على تقليل هذه التكاليف بشكل كبير من خلال تقصير فترات التعطل وزيادة ثقة العملاء والمستثمرين.
- عقوبات مخففة: يمكن أن تؤدي حالات اختراق أمن البيانات إلى عقوبات كبيرة عندما يتم تسريب معلومات العملاء الخاصة. تتعرض الشركات التي تعمل في مجال الرعاية الصحية والتمويل الشخصي لمخاطر أكبر بسبب حساسية البيانات التي تتعامل معها. يعد وجود استراتيجية قوية لاستمرارية الأعمال أمرًا ضروريًا للشركات التي تعمل في هذه القطاعات، مما يساعد على إبقاء مخاطر العقوبات المالية الكبيرة منخفضة نسبيًا.
يكون التخطيط لاستمرارية الأعمال والتعافي من الكوارث (BCDR) أكثر فعالية عندما تتبع الشركات نهجًا منفصلاً ولكن منسقًا. في حين أن خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) متشابهة، إلا أن هناك اختلافات مهمة تجعل تطويرها بشكل منفصل أمرًا مفيداً:
- تركز خطط استمرارية الأعمال القوية على إجراءات تكتيكية للحفاظ على سير العمليات العادية قبل وقوع الكارثة وأثناءها وبعدها مباشرة.
- تميل خطط استمرارية الأعمال والتعافي من الكوارث إلى أن تكون أكثر تفاعلية وتحدد طرق الاستجابة للحوادث وإعادة تشغيل كل شيء بسلاسة.
قبل أن نتعمق في كيفية إنشاء خطط لاستمرارية الأعمال وخطط للتعافي من الكوارث فعالة، دعنا نلقي نظرة على مصطلحين لهما صلة بكليهما:
- هدف وقت الاسترداد (RTO):يشير مصطلح هدف وقت الاسترداد إلى مقدار الوقت المستغرق لاستعادة عمليات الأعمال بعد وقوع حادث غير مخطط له. يعد إنشاء هدف وقت استرداد معقول أحد الأشياء الأولى التي يتعين على الشركات القيام بها عند إنشاء خطة استمرارية الأعمال أو خطة التعافي من الكوارث.
- هدف نقطة الاسترداد (RPO): يمثل هدف نقطة الاسترداد (RPO) الخاص بشركتك مقدار البيانات التي يمكن أن تتحمل فقدها في حالة وقوع كارثة مع الاستمرار في التعافي. نظرًا لأن حماية البيانات تعد قدرة أساسية للعديد من المؤسسات الحديثة، فإن بعضها يقوم بنسخ البيانات باستمرار إلى مركز بيانات بعيد لضمان استمرارية الأعمال في حالة حدوث اختراق كبير. يقوم آخرون بتعيين هدف نقطة استرداد مقبولة لاسترداد بيانات الأعمال من نظام النسخ الاحتياطي تتمثل في بضع دقائق (أو حتى ساعات) وهم يعلمون أنهم سيتمكنون من استرداد ما فُقد خلال تلك الفترة مهما كان حجمه.
في حين أن كل شركة سيكون لها متطلبات مختلفة قليلاً عندما يتعلق الأمر بالتخطيط لاستمرارية الأعمال، إلا أن هناك أربع خطوات مستخدمة على نطاق واسع تحقق نتائج قوية بغض النظر عن الحجم أو الصناعة.
1. إجراء تحليل لتأثير الأعمال
يساعد تحليل تأثير الأعمال (BIA) المؤسسات على فهم التهديدات المختلفة التي تواجهها بشكل أفضل.يتضمن تحليل تأثير الأعمال القوي إنشاء أوصاف قوية لجميع التهديدات المحتملة وأي نقاط ضعف قد تكشفها. وكذلك، يقوم تحليل تأثير الأعمال بتقدير احتمالية حدوث كل حدث حتى تتمكن المؤسسة من تحديد أولوياتها وفقا لذلك.
2. إنشاء استجابات محتملة
لكل تهديد تحدده في تحليل تأثير الأعمال الخاص بك، ستحتاج إلى تطوير استجابة للأعمالك. تتطلب التهديدات المختلفة استراتيجيات مختلفة، ولذلك من الجيد أن تضع خطة مفصّلة لكيفية التعافي من كل كارثة قد تواجهها على حدة.
3. تعيين الأدوار والمسؤوليات
الخطوة التالية هي معرفة ما هو مطلوب من كل فرد في فريق التعافي من الكوارث في حالة وقوع كارثة. يجب أن توثق هذه الخطوة التوقعات وتأخذ في الاعتبار كيفية تواصل الأفراد أثناء وقوع حادث غير مخطط له. تذكّر أن العديد من التهديدات تعطّل قدرات الاتصال الرئيسية مثل الشبكات الخلوية وشبكات Wi-Fi، لذا من الحكمة أن يكون لديك إجراءات احتياطية للاتصال يمكنك الاعتماد عليها.
4. التدريب على الخطة ومراجعتها
لكل تهديد قمت بالتحضير له، ستحتاج إلى ممارسة خطط استمرارية الأعمال والتعافي من الكوارث (BCDR) وتحسينها باستمرار حتى تعمل بسلاسة. تدرب على سيناريو واقعي قدر الإمكان دون تعريض أي شخص لخطر فعلي حتى يتمكن أعضاء الفريق من اكتساب الثقة واكتشاف كيفية أدائهم المحتمل في حالة انقطاع استمرارية العمل.
وكما هو الحال مع خطط استمرارية الأعمال، تحدد خطط التعافي من الكوارث الأدوار والمسؤوليات الرئيسية ويجب اختبارها وتنقيحها باستمرار لتصبح فعالة. فيما يلي عملية مكونة من أربع خطوات تُستخدم على نطاق واسع لإنشاء خطط التعافي من الكوارث.
1. إجراء تحليل تأثير الأعمال
كما هو الحال مع خطة استمرارية الأعمال التي تستخدمها، تبدأ خطة التعافي من الكوارث بتقييم دقيق لكل تهديد قد تواجهه شركتك وآثاره المحتملة. ضع في اعتبارك الضرر الذي يمكن أن يسببه كل تهديد محتمل واحتمالية تسببه في تعطيل عمليات أعمالك اليومية. وقد تشمل الاعتبارات الإضافية الخسارة في الإيرادات، وتوقف الخدمة، وتكلفة تحسين السمعة (العلاقات العامة)، وخسارة العملاء والمستثمرين بسبب الصحافة السيئة.
2. جرد أصولك
تتطلب خطط التعافي من الكوارث الفعالة أن تعرف بالضبط ما تمتلكه مؤسستك. فواظب على إجراء عمليات الجرد هذه دوريًا بانتظام لكي تتمكن بسهولة من التعرف على الأجهزة والبرامج، والبنية التحتية لتقنية المعلومات وأي شيء آخر تعتمد عليه مؤسستك في وظائف العمل الحساسة. يمكنك استخدام المسميات التالية لتصنيف كلٍ أصل وتحديد أولويات حمايته—الحساسة والمهمة و غير المهمة.
- حساسة: قم بتسمية الأصول على أنها حساسة إذا كنت تعتمد عليها في عمليات الأعمال العادية.
- هام: امنح هذه التسمية لأي شيء تستخدمه مرة واحدة على الأقل في اليوم، وفي حال تعطله سيؤثر على عملياتك الحرجة (ولكن ليس إيقافها بالكامل).
- غير هام: هذه هي الأصول التي تمتلكها شركتك ولكنها تستخدمها بشكل غير متكرر بما يكفي لجعلها غير ضرورية للعمليات العادية.
3. تعيين الأدوار والمسؤوليات
كما هو الحال في خطة استمرارية الأعمال لديك، ستحتاج إلى وصف المسؤوليات والتأكد من أن أعضاء فريقك لديهم ما يحتاجون إليه لأدائها. فيما يلي بعض الأدوار والمسؤوليات المستخدمة على نطاق واسع للنظر فيها:
- مراسل الحوادث: الشخص الذي يحتفظ بمعلومات الاتصال الخاصة بالأطراف ذات الصلة ويتواصل مع قادة الأعمال والأطراف المعنية عند وقوع أحداث تؤدي إلى التعطل.
- مشرف خطة التعافي من الكوارث: شخص يضمن أداء أعضاء الفريق للمهام التي تم تكليفهم بها أثناء الحادث.
- مدير الأصول: شخص تتمثل مهمته في تأمين وحماية الأصول الحساسة عند وقوع كارثة.
4. التدريب على الخطة
تماما كما هو الحال مع خطة استمرارية الأعمال لديك، ستحتاج إلى ممارسة خطة التعافي من الكوارث وتحديثها باستمرار حتى تكون فعالة. تدرب بانتظام وقم بتحديث مستنداتك وفقا لأي تغييرات ذات مغزى يجب إجراؤها. على سبيل المثال، إذا قامت شركتك بشراء أصل جديد بعد تشكيل خطة التعافي من الكوارث، فسوف تحتاج إلى دمجه في خطتك في المستقبل وإلا فلن يتم حمايته عند وقوع الكارثة.
سواء كنت بحاجة إلى خطة استمرارية الأعمال (BCP) أو خطة التعافي من الكوارث (DRP) أو كليهما يعملان معًا أو بشكل منفصل، يمكن أن يساعدك النظر في كيفية قيام الشركات الأخرى بوضع الخطط لتعزيز جاهزيتها. فيما يلي بعض الأمثلة على الخطط التي ساعدت الشركات في الإعداد لكل من استمرارية الأعمال والتعافي من الكوارث.
- خطة إدارة الأزمات: يمكن أن تكون الخطة الجيدة لإدارة الأزمات جزءًا من التخطيط لاستمرارية الأعمال أو التعافي من الكوارث. خطط إدارة الأزمات هي وثائق مفصلة توضح كيفية إدارة تهديد معين. وهي توفر تعليمات مفصلة حول كيفية استجابة المنظمة لنوع معين من الأزمات، مثل انقطاع التيار الكهربائي أو الجرائم الإلكترونية أو الكوارث الطبيعية؛ وعلى وجه التحديد، كيف سيتعاملون مع الضغوط ساعة بساعة ودقيقة بدقيقة أثناء تطور الحدث. إن العديد من الخطوات والأدوار والمسؤوليات المطلوبة في التخطيط لاستمرارية الأعمال والتعافي من الكوارث ذات صلة بالخطط الجيدة لإدارة الأزمات.
- خطة الاتصالات: تنطبق خطط الاتصالات بالقدر نفسه على استمرارية الأعمال وجهود التعافي من الكوارث. وهي تحدد كيف ستعالج مؤسستك مخاوف متطلبات التخطيط على وجه التحديد في أثناء وقوع حادث غير مخطط له. لبناء خطة اتصالات جيدة، ينسق قادة الأعمال عادة مع متخصصي الاتصالات لصياغة خطط الاتصالات الخاصة بهم. لدى بعضهم خطط محددة للكوارث تُعد محتملة وشديدة على حد سواء، لذا فهم يعرفون بالضبط كيف سيستجيبون لها.
- خطة استعادة الشبكة: تساعد خطط استعادة الشبكة المؤسسات على استعادة الانقطاعات في خدمات الشبكة، بما في ذلك الوصول إلى الإنترنت والبيانات الخلوية والشبكات المحلية (LAN) والشبكات الواسعة (WAN). وعادةً ما تكون خطط استعادة الشبكة واسعة النطاق لأنها تركز على الحاجة الأساسية والضرورية - مثل الاتصالات - ويجب النظر إليها من جانب استمرارية الأعمال أكثر منها من جانب التعافي من الكوارث. ونظرًا لأهمية الكثير من خدمات الشبكة لعمليات الأعمال، تركز خطط استعادة الشبكة على الخطوات اللازمة لاستعادة الخدمات بسرعة وفعالية عقب الانقطاع.
- خطة استرداد مركز البيانات: من المرجح أن يتم تضمين خطة استرداد مركز البيانات في خطة استمرارية الأعمال أكثر من خطة التعافي من الكوارث بسبب تركيزها على أمن البيانات والتهديدات التي تتعرض لها البنية التحتية لتكنولوجيا المعلومات. تتضمن بعض التهديدات الشائعة للنسخ الاحتياطي للبيانات، الموظفين المرهقين والهجمات الإلكترونية وانقطاع التيار الكهربائي وصعوبة اتباع متطلبات الامتثال.
- خطة التعافي الافتراضية: على غرار خطة مركز البيانات، من المرجح أن تكون خطة التعافي الافتراضية جزءًا من خطة استمرارية الأعمال أكثر من خطة التعافي من الكوارث بسبب تركيز خطة استمرارية الأعمال على موارد تكنولوجيا المعلومات والبيانات. تعتمد خطط التعافي الافتراضية على نماذج الأجهزة الافتراضية (VM) التي يمكنها بدء التشغيل في غضون بضع دقائق من الانقطاع. الأجهزة الافتراضية هي تمثيل/محاكاة لأجهزة الكمبيوتر الفعلية التي توفر خدمات استعادة التطبيقات المهمة من خلال التوافر العالي أو قدرة النظام على العمل بشكل مستمر من دون فشل.
حتى الانقطاع البسيط يمكن أن يعرض عملك للخطر. لدى شركة IBM مجموعة واسعة من خطط الطوارئ وحلول التعافي من الكوارث للمساعدة في تهيئة أعمالك لمواجهة مجموعة متنوعة من التهديدات بما في ذلك النسخ الاحتياطي السحابي وامكانيات التعافي من الكوارث وخدمات الأمان والمرونة.