حسابرسی فناوری اطلاعات

تداوم کسب و کار دغدغه حسابرسان داخلی در محیط پر مخاطره

یک کسب و کار با حوادث زیادی رو به روست که ممکن است حیات آن را به خطر بیندازد. طوفان کاترینا در سال ۲۰۰۵، سونامی فاجعه بار اقیانوس هند در سال ۲۰۰۴، حمله به برج های دو قلو و حوادثی از این دست صدمات گسترده ای ایجاد نموده و بسیاری از کسب و کارها را تحت تاثیر قرار می دهد به نحوی که تعداد بسیار کمی از این کسب و کارها می توانند بعد از این حوادث زنده بمانند. در ایران نیز حوادث طبیعی از جمله زلزله و سیل حوادثی هستند که می توانند سازمان ها و کسب و کارها را با حوادث جدی روبرو سازند. علاوه بر حوادث طبیعی، همواره حوادث غیرطبیعی مانند آتش سوزی های عمدی و سهوی، فعالیت های خرابکارانه و تروریستی و اشتباهات انسانی نیز می توانند ریسک هایی را برای سازمان به همراه داشته و تداوم کسب و کار را با مشکل ر وبرو کنند.

هر یک از کسب و کارها وابسته به منابع، پرسنل و وظایفی هستند که اگر به هر یک از آن ها آسیبی وارد شده و به هر دلیلی از دسترس خارج شوند، ممکن است آن کسب و کار به اصطلاح فلج شده و از بین برود. صرفا کسب و کارهایی می توانند به حیات خود ادامه دهند که از قبل به این حوادث فکر کرده، وظایف و منابع کلیدی خود را شناسایی و آسیب وارده احتمالی به آن ها را برآورد نموده و برای انجام اقدامات مقتضی در صورت رخداد این حوادث از قبل برنامه ریزی کرده باشند. در ادامه با مروری بر مفهوم تداوم کسب و کار و برنامه تداوم کسب و کار و بازیابی حادثه، مراحل انجام این برنامه ریزی به تفصیل توضیح داده می شود.

 

 

براساس تعریفی از ایزو (۲۲۳۰۱:۲۰۱۲)، تداوم کسب و کار بدین معنی است که یک سازمان بتواند همچنان تحویل محصول و خدمات خود را در سطح قابل قبولی که از پیش تعریف شده است حتی بعد از یک حادثه مختل کننده ادامه دهد. در واقع این سطح قابل قبول، سطحی است که می توان گفت که آن کسب و کار هنوز زنده است.

بدین منظور لازم است یک سازمان از قبل برنامه ریزی کرده باشد. این برنامه، برنامه تداوم کسب و کار و بازیابی حادثه نام دارد که دو هدف عمده زیر را دنبال می نماید:

  • حصول اطمینان از اینکه شرکت همچنان می تواند وظایف کلیدی خود را انجام دهد.
  • کاهش ریسک ضرر مالی از طریق افزایش توانایی شرکت برای بازیابی و بازسازی عملیات. در واقع این هدف به کاهش تاثیرات حادثه اشاره دارد.

در این جا لازم است به تفاوت تداوم کسب و کار و بازیابی حادثه توجه شود.

برنامه تداوم کسب و کار (Business Continuity Plan) نگاه و رویکرد گسترده تری به مساله دارد و این امکان را فراهم می کند که سیستم های کلیدی در محیط دیگری تا زمان اصلاح تجهیزات اصلی اجرا شوند، افراد درست در مکان درست قرار بگیرند و کسب و کار تا زمانی که به شرایط نرمال برگردد، به شیوه ای متفاوت انجام شود و همچنین ارتباط با مشتریان، شرکا و سهامداران از طریق کانال های متفاوت از کانال اصلی همچنان برقرار بماند. لیکن هدف از بازیابی حادثه، به حداقل رساندن تاثیر یک حادثه و انجام اقدامات لازم برای اطمینان از این است که منابع، پرسنل و فرآیندهای کسب و کار در زمان قابل قبولی می توانند بازیابی شوند. در واقع برنامه بازیابی حادثه سعی در مدیریت حادثه و تاثیرات آن بعد از بروز حادثه دارد و عمدتا بر محور فناوری اطلاعات تمرکز دارد.

بازیابی حادثه با این عبارت سر و کار دارد «خدای من، آسمان دارد می افتد» و برنامه تداوم چنین بیان می کند « آسمان افتاده است. حال چه کنیم که کسب و کار ما باقی بماند تا زمانی که کسی بتواند آسمان را سر جای خود برگرداند»

از نگاه اصول امنیت نیز می توان به این موضوع نگاه کرد. قطعا یک کسب و کار بعد از رخداد یک حادثه، آسیب پذیرتر خواهد بود و در نتیجه سه اصل امنیت شامل دسترس پذیری، محرمانگی و یکپارچگی دچار مخاطره خواهد شد. لیکن لزوم حفظ محرمانگی برخی اطلاعات کلیدی نظیر حساب های بانکی افراد و یا در دسترس بودن برخی خدمات کلیدی حتی بعد از یک حادثه مختل کننده کسب و کار ضروری است. لذا بایستی این موارد شناسایی و در برنامه تداوم کسب و کار مد نظر قرار گیرد. به عنوان مثال رها کردن سروری با اطلاعات فوق سری در ساختمانی که همه افراد در زمان حادثه آن را ترک می کنند، درست نیست.

از اولین راهکارهایی که به ذهن می رسد، پشتیبان گیری از داده ها و اطلاعات مهم و یا در نظر گرفتن خطوط ارتباطی جایگزین در صورت قطع خط ارتباطی است. لیکن این موضوعات بخش کوچکی از اقداماتی است که بایستی در برنامه تداوم کسب و کار لحاظ شود. در بخش بعدی به تفصیل این اقدامات توضیح داده می شود.

 

برنامه تداوم کسب و کار موارد زیر را برای سازمان به ارمغان می آورد:

  • ارائه پاسخ فوری و مناسب به مواقع اضطراری
  • حفظ حیات و اطمینان از امنیت
  • کاهش اثر کسب و کار
  • بازیابی وظایف کلیدی کسب و کار
  • کار با فروشندگان در طول زمان بازیابی
  • کاهش آشفتگی در زمان بحران
  • اطمینان از زنده ماندن کسب و کار
  • بلند شدن و ادامه فعالیت سریعا بعد از حادثه

سه نکته مهم در این خصوص که بایستی مورد توجه قرار گیرد:

  • آگاه نمودن شرکای کسب و کار از آمادگی شرکت
  • ایجاد اطمینان مجدد در سهامداران و هیات مدیره در مورد آمادگی شرکت
  • در صورت وجود الزامات قانونی صنعت، اطمینان از لحاظ نمودن این موارد در

مراحل برنامه ریزی تداوم کسب و کار

ادبیات مشترکی برای توسعه برنامه تداوم کسب و کار وجود ندارد. موسسه ملی استاندارد و تکنولوژی (NIST) براساس best practice های موجود، راهنمایی در این زمینه با عنوان «راهنمای برنامه ریزی تداوم برای سیستم های فناوری اطلاعات» منتشر نموده است که شامل ۷ مرحله زیر است:

  1. توسعه سیاست های برنامه تداوم . توسعه سیاست ها که راهنمایی برای توسعه یک BCP است و براساس آن می توان نقش ها و وظایفی که این نقش ها بایستی انجام دهند را تعریف نمود.
  2. انجام تحلیل تاثیر کسب و کار (BIA) . شناسایی سیستم ها و وظایف کلیدی و اولویت بندی براساس ضرورت، شناسایی نقاط آسیب پذیر و محاسبه تهدیدها و ریسک ها.
  3. شناسایی کنترل های پیشگیرانه. پس از تشخیص تهدیدها، بایستی کنترل های لازم را شناسایی و پیاده سازی نمود تا ریسک سازمان به شیوه ای اقتصادی کاهش یابد
  4. توسعه استراتژی های بازیابی. توسعه روش هایی برای اطمینان از اینکه سیستم ها و وظایف کلیدی می توانند به سرعت بازیابی شوند
  5. توسعه برنامه اقتضایی. تبیین رویه ها و راهنماهای لازم برای اطمینان از اینکه سازمان در یک چنین شرایط مخاطره آمیزی هنوز می تواند زنده بماند
  6. آزمون یا تست برنامه و آموزش و تمرین. ارزیابی برنامه برای شناسایی کمبودهای BCP و ارائه آموزش به منظور کسب آمادگی لازم توسط افراد برای انجام وظایف مورد انتظار و از پیش تعیین شده
  7. نگهداری برنامه. توجه به BCP به عنوان یک مستند پویا و به روزرسانی منظم آن.

اگرچه این برنامه تحت عنوان راهنمایی برای سیستم های فناوری اطلاعات منتشر شده است لیکن گام ها و مراحل این برنامه به نحوی است که برای توسعه BCP در سطح سازمان کاربرد دارد.

نظر دهید