چگونه یک طرح تداوم کسب‌ و کار ایجاد کنیم؟

کسب‌ و کارها برای اینکه در بازار امروز رقابتی باقی بمانند، باید مقررات سخت‌گیرانه تولید را برای کاهش زمان خرابی و خطاهای مهمی که می‌تواند بر شهرت آنها تأثیر منفی بگذارد، حفظ کنند. سازمان‌ها نمی‌توانند منتظر بمانند تا یک رویداد برای طراحی یک استراتژی حل مشکل رخ دهد.

کسب‌ و کار شما محصولات یا خدمات مهمی را به مشتریان‌تان ارائه می‌دهد. هرگونه وقفه در ارائه خدمات و محصولات می‌تواند به این معنی باشد که مشتریان شما به دنبال راه‌هایی برای رفع نیازهای خود در جای دیگری باشند. این بدان معنی است که اگر شما قادر به تامین نیازهای مشتریان‌تان نباشید، آنها به سمت رقبای شما خواهند رفت. اصطلاح طرح تداوم کسب‌ و کار (یا BCP) روشی را که یک سازمان در صورت بروز فاجعه حفظ می‎کند یا به سرعت از ادامه کسب و کار را از سر می‌گیرد، توصیف می‌کند. با ایجاد یک برنامه موثر تداوم کسب و کار، احتمال اینکه در صورت بروز اختلال بزرگ در کسب و کار، از خرابی و از دست دادن داده‌ها و زیرساخت‌های حیاتی جلوگیری کنید، افزایش می‌یابد.

در گذشته، برنامه‌ریزی طرح تداوم کسب و کار عمدتاً براساس رویدادهای فیزیکی مانند بلایای طبیعی، آتش‌سوزی ساختمان، گردباد، یا قطعی برق طولانی مدت انجام می‌گرفت. با این حال، با پیشرفته‌تر شدن فناوری، حملات سایبری به یک تهدید بزرگ برای مشاغل بزرگ و کوچک تبدیل شده است. به همین دلیل است که برای همه کسب‌وکارها درک دقیقی از اهمیت امنیت سایبری به عنوان بخشی از تداوم کسب‌وکار و نحوه ادغام امنیت سایبری در برنامه تداوم به‌روز شده‌تان، قبل از وقوع فاجعه، ضروری است.

طرح تداوم کسب و کار (BCP) مجموعه خاصی از اقدامات پیشگیرانه و بازیابی است که افراد کلیدی در صورت تهدید سازمان شما انجام خواهند داد. یک BCP معمولی شامل موارد زیر است:

فرآیندهای کسب و کار
دارایی‌ها
منابع انسانی
شرکای تجاری / تامین‌کنندگان / فروشندگان شخص ثالث

اساساً، این طرح باید یک الگو یا کتاب قانون باشد تا بهترین راه برای روشن نگه داشتن عملکردهای ضروری در طول یک فاجعه و بازیابی با کمترین زمان خرابی و آسیب را توصیف کند. هدف از طرح تداوم کسب و کار پیش‌بینی چگونگی تأثیر بلایای مختلف بر کسب و کار شما و بهترین راه برای واکنش به چنین رویدادی است. رویدادهای غیرقابل پیش‌بینی که برنامه شما به آنها اشاره می‌کند، ممکن است شامل شرایط آب و هوایی شدید، آتش‌سوزی، بلایای طبیعی، شیوع بیماری و حملات سایبری باشد. فقدان چنین طرحی می‌تواند به چیزی بیش از ضرر مالی و مزیت رقابتی پایین‌تر منجر شود، در واقع می‌تواند به معنای بستن درهای کسب و کار شما برای همیشه باشد. اقتصاددانان فدرال رزرو تخمین می‌زنند که هر سال حدود 600000 کسب و کار به طور دائم تعطیل می‌شوند. دلایل شکست کسب و کار اغلب به عنوان کمبود بودجه، مدیریت ضعیف یا بازاریابی ناکارآمد ذکر شده است. برنامه‌ریزی تداوم کسب و کار راهی برای رسیدگی به چنین مسائل احتمالی قبل از بروز آنها است.

چگونه یک طرح تداوم کسب و کار ایجاد کنیم؟

طرح تداوم کسب و کار شما باید قبل از وقوع فاجعه انجام شود. با صرف زمان و تلاش برای ایجاد یک تیم و ایجاد یک برنامه جامع، آماده پاسخگویی به تهدیدات در صورت بروز حادثه خواهید بود. این مراحل را برای ایجاد یک طرح تداوم کسب و کار موثر انجام دهید:

یک تیم مدیریت تداوم کسب و کار تشکیل دهید.
بیانیه ماموریتی بنویسید که اهداف طرح را بیان کند.
برای تعیین خطرات احتمالی برای شرکت خود، تجزیه و تحلیل تأثیرات تجاری را انجام دهید.
رویه‌ها و جزئیات طرح را در مورد ابزارها، زیرساخت‌ها و نرم‌افزارهای مورد نیاز بنویسید.
برنامه خود را آزمایش کنید و در صورت نیاز آن را بهبود بخشید.

چرا امنیت سایبری بخش مهمی از یک طرح تداوم کسب و کار موثر است؟

حمله سایبری یکی از مرتبط‌ترین تهدیداتی است که مشاغل در هر اندازه و در همه صنایع، با آن مواجه هستند. تقریباً همه مشاغل اطلاعات حساس را ذخیره می‌کنند. این اطلاعات ممکن است شامل فناوری اطلاعات، اطلاعات تماس مشتری، اطلاعات شخصی و شماره تلفن باشد. به دلیل عوامل مختلف، جرایم سایبری رشد انفجاری در سال 2021 داشت.

در سال 2021 در مقایسه با سال 2020، 50 درصد بیشتر حملات سایبری در هفته به شبکه‌های شرکتی گزارش شده است.
هزینه خسارت باج‌افزار گزارش شده در سال 2021 با وقوع یک حمله در هر 11 ثانیه به 20 میلیارد دلار رسید. تخمین زده می‌شود که این هزینه در سال 2031 به 265 میلیارد دلار برسد و هر 2 ثانیه یک حمله انجام شود.
بر اساس گزارش هزینه نقض داده‌های IBM در سال 2021، میانگین کل هزینه نقض داده‌ها از 3.86 میلیون در سال 2020 به 4.24 میلیون در سال 2021 افزایش یافت. برای یازدهمین سال متوالی، سازمان‌های مراقبت‌های بهداشتی بالاترین میانگین هزینه نشت داده‌ها را تجربه کردند.

در حالی که رسانه‌ها و عموم مردم همچنان تاثیر جرایم سایبری بر سازمان‌های دولتی، شرکت‌های بزرگ و زیرساخت‌های حیاتی را تشخیص می‌دهند، بسیاری از صاحبان کسب و کار نمی‌توانند تاثیر بالقوه جرایم سایبری را بر یک کسب و کار کوچک تشخیص دهند. با این حال، داده‌ها نشان می‌دهد که، 43 درصد از تمام نقض‌های داده مربوط به کسب‌وکارهای کوچک تا متوسط است و 61 درصد از کل SMB‌ها (کسب و کارهای کوچک) حداقل یک حمله سایبری را در طول سال گذشته گزارش کرده‌اند. این اعداد یک چیز را روشن می‌کند، حملات سایبری یک تهدید آشکار و فعلی برای هر کسب و کاری است. اگر امیدوارید در صورت وقوع یک حمله سایبری، عملکردهای حیاتی کسب و کار خود را حفظ کنید، ضروری است که امنیت سایبری را به بخشی اساسی از فرآیند برنامه‌ریزی تداوم کسب و کار خود تبدیل کنید.

5 راه برای گنجاندن امنیت سایبری در طرح تداوم کسب و کار شما

طرح تداوم کسب و کار شما باید سندی در حال تغییر و در حال رشد باشد که به طور مداوم به‌روز می‌شود تا تهدیدات بالقوه جدید و رو به رشد برای کسب و کار شما را جبران کند. افزودن مراحل حیاتی برای مقابله با خطرات امنیت سایبری، بخش مهمی از به روز رسانی برنامه شما برای منعکس کردن خطرات احتمالی است که به احتمال زیاد بر تجارت شما تأثیر می‌گذارد. راه‌هایی را در نظر بگیرید که این اقدامات می‌تواند به شما کمک کند تا در صورت بروز حمله سایبری، آمادگی بیشتری داشته باشید.

ارزیابی ریسک و تحلیل تاثیر تجاری را انجام دهید

اگر یک طرح تداوم کسب و کار دارید، احتمالاً آسیب‌پذیری‌های خاصی را شناسایی کرده‌اید و احتمال وقفه کسب‌وکار را به دلیل تهدیدات خاص ارزیابی کرده‌اید. افزودن امنیت سایبری به BCP (Business Continuity Plan) شما مستلزم آن است که تیم تداوم کسب‌وکار شما با شناسایی دارایی‌های خاصی که می‌توانند در خطر باشند و پیش‌بینی انواع تهدیدهایی که به احتمال زیاد بر آن دارایی‌ها تأثیر می‌گذارند، ارزیابی ریسک انجام دهد. پس از شناسایی موثر تهدیدات خاص، انجام یک تجزیه و تحلیل تأثیر تجاری (BIA: Business Impact Analysis) برای تعیین تأثیرات مالی و عملیاتی که چنین حمله‌ای ایجاد می‌کند، مهم است.

برای اکثر شرکت‌ها، ارزیابی ریسک مؤثر و BIA، مستلزم شناسایی و مستندسازی تمام دستگاه‌های متعلق به سازمان‌ها، مناطق تجاری که دستگاه‌ها در آن قرار دارند، و روش‌های فعلی امنیت سایبری برای محافظت از هر دستگاه است. ممکن است مستندات دقیق‌تری لازم باشد که دستگاه‌ها را بر اساس سطح داده‌های حساسی که با دستگاه ذخیره یا حمل می‌شود، دسته‌بندی کند. هنگامی که دید جامعی از وضعیت فعلی امنیت سایبری خود داشتید، می‌توانید مراحلی را که باید برای توسعه یک دفاع امنیتی سایبری قوی انجام دهید، تعیین کنید.

ریسک‌های شخص ثالث و زنجیره تامین را ارزیابی کنید

تلاش‌های شما برای امنیت سایبری تنها به اندازه ضعیف‌ترین پیوند قوی است. متأسفانه، وقتی صحبت از امنیت سایبری می‌شود، محافظت از دستگاه‌های موجود در سازمان شما به تنهایی کافی نیست. هر عضو زنجیره تامین شما این پتانسیل را دارد که یک نقطه دسترسی برای مجرمان سایبری که به دنبال راهی برای ورود به شبکه شما هستند، فراهم کند. این اشخاص ثالث می‌توانند با عدم رعایت استانداردهای انطباق، معرفی نقض از طریق نرم‌افزار شخص ثالث، یا به اشتراک گذاری داده‌های خراب، خطراتی را برای سیستم شما ایجاد کنند. حملات زنجیره تامین در ایالات متحده در سه ماهه اول سال 2021، 42 درصد افزایش یافت. با این حال بسیاری از شرکت‌ها چنین تهدیدهایی را تشخیص نمی‌دهند.

اگر با فروشندگان و توزیع‌کنندگان شخص ثالث کار می‌کنید، احتمالاً از قبل برخی از استراتژی‌های مدیریت ریسک شخص ثالث را تمرین کرده‌اید. این موضوع ممکن است شامل بررسی اعتبار یا سابقه انطباق ارائه‌دهندگان خدمات شخص ثالث باشد. با فهرست‌بندی ریسک‌های امنیت سایبری که فروشندگان می‌توانند سازمان شما را در معرض آن قرار دهند، می‌توانید خطراتی را که روابط تجاری فعلی‌تان برای شبکه‌تان به همراه دارد، ارزیابی کنید. BCP شما همچنین می‌تواند شامل گام‌های پیشگیرانه در هنگام ایجاد مشارکت‌های جدید باشد، مانند فرآیند بررسی دقیق فروشنده که ریسک‌ها را قبل از شروع مشارکت در نظر می‌گیرد. چک لیست مدیریت ریسک فروشنده می‌تواند به شما کمک کند تا یک حسابرسی کامل مدیریت فروشنده برای ارزیابی خطرات احتمالی که اشخاص ثالث برای شبکه شما ایجاد می‌کنند، انجام دهید.

طرحی برای واکنش به حادثه طراحی کنید

این توصیه قدیمی که “یک اونس پیشگیری ارزش یک پوند درمان را دارد” در دنیای امنیت سایبری صادق است. با این حال، حتی سخت‌ترین دفاع نیز تضمین نمی‌کند که هرگز با حمله‌ای روبرو نشوید. طرح واکنش به حادثه مجموعه‌ای از دستورالعمل‌های مکتوب است که آمادگی سازمان شما را برای واکنش به شرایط اضطراری که می‌تواند منجر به از کار افتادگی یا آسیب به سازمان شود را مشخص می‌کند. طرح پاسخ به امنیت سایبری شما باید شامل دستورالعمل‌های گام به گام باشد که نحوه واکنش سازمان شما به نقض داده‌ها، نشت داده‌ها، حملات سایبری و حوادث امنیت سایبری را توضیح دهد. برای بسیاری از کسب و کارها، یک طرح واکنش به حادثه طراحی شده است تا از قوانین انطباق خاصی پیروی کند، مانند دستورالعمل های NIST یا SANS. بخش‌های مهم طرح واکنش به حادثه شما ممکن است شامل پروتکل پشتیبان‌گیری از داده‌ها برای طرح بازیابی، فرآیندهای مدیریت اضطراری که شامل یک طرح ارتباطی و اهداف زمان بازیابی است، باشد.

طرح واکنش به حادثه خود را آزمایش کنید

طرح پاسخ به حادثه شما بر اساس داده‌ها و حقایقی است که به بهترین شیوه‌ها برای مدیریت تداوم کسب و کار منجر می‌شود. با این حال، بدون آزمایش، غیرممکن است که بدانید روش‌های شما چقدر خوب و کارآمد هستند. هنگامی که یک برنامه واضح مستند دارید، مهم است که آزمایش‌هایی ایجاد کنید که حملات واقعی را شبیه‌سازی می‌کند تا برنامه شما را آزمایش کند. NIST Special Publication 800-84 تست‌ها و دو نوع تمرین را برای ارزیابی خط‌مشی و رویه‌های پاسخ تعریف می‌کند.

به طور مستمر ریسک‌های ورودی را ارزیابی کنید و شیوه ها را به‌روز نگه دارید

با ادامه پیشرفت فناوری، حملات سایبری برای تولید روش‌های جدید حمله، پیشرفته‌تر و پیچیده‌تر خواهند شد. در نظر بگیرید که چگونه باج‌افزار Ryuk از یک آسیب‌پذیری آشکار برای راه‌اندازی یک حمله ویرانگر زیرودی استفاده کرد یا به روشی که حمله SolarWinds از حرکت جانبی استفاده کرد تا ماه‌ها شناسایی نشود. مجرمان سایبری مدرن برای جستجوی مستمر آسیب‌پذیری‌های جدید که شرکت‌ها آمادگی دفاع در برابر آن را ندارند، در صدر فناوری باقی خواهند ماند.

طرح تدوام کسب و کار شما نباید ابزاری در نظر گرفته شود؛ “آن را تنظیم کنید و آن را فراموش کنید”. حداقل یک بار در سال یک بازنگری باید برای بحث در مورد هر زمینه‌ای که نیاز به اصلاح دارد برنامه‌ریزی شود. چنین تغییراتی ممکن است شامل تغییرات پرسنل کلیدی، روش‌ها و استراتژی‌های بازیابی برای بهبود وضعیت امنیتی شما باشد. در صورت وقوع فاجعه، BCP شما باید با توجه به اطلاعات جدید ارائه شده توسط حادثه، به طور کامل بررسی شود.