استمرارية الأعمال مقابل التعافي من الكوارث: ما هي الخطة المناسبة لك؟ – مدونة آي بي إم

إن خطط استمرارية الأعمال والتعافي من الكوارث هي إستراتيجيات لإدارة المخاطر تعتمد عليها الشركات للتحضير للحوادث غير المتوقعة. على الرغم من أن المصطلحين مرتبطان ارتباطًا وثيقًا، إلا أن هناك بعض الاختلافات الرئيسية التي تستحق أخذها في الاعتبار عند اختيار المصطلح المناسب لك:

• خطة استمرارية الأعمال (BCP): خطة استمرارية الأعمال هي خطة تفصيلية تحدد الخطوات التي ستتخذها المنظمة للعودة إلى وظائف العمل العادية في حالة وقوع كارثة. في حين قد تركز أنواع أخرى من الخطط على جانب واحد محدد من جوانب التعافي ومنع الانقطاع (مثل الكوارث الطبيعية أو الهجمات السيبرانية)، تتخذ BCPs نهجًا واسعًا وتهدف إلى ضمان قدرة المؤسسة على مواجهة أكبر مجموعة واسعة من التهديدات قدر الإمكان.
• خطة التعافي من الكوارث (DRP): أكثر تفصيلاً بطبيعتها من خطط استمرارية الأعمال، خطط التعافي من الكوارث تتكون من خطط طوارئ لكيفية قيام المؤسسات بحماية أنظمة تكنولوجيا المعلومات والبيانات الهامة الخاصة بها على وجه التحديد أثناء انقطاع الخدمة. إلى جانب خطط استمرارية الأعمال، تساعد خطط DR الشركات على حماية البيانات وأنظمة تكنولوجيا المعلومات من العديد من سيناريوهات الكوارث المختلفة، مثل انقطاع التيار الكهربائي على نطاق واسع، والكوارث الطبيعية، الفدية و  البرمجيات الخبيثة الهجمات وغيرها الكثير.
• استمرارية الأعمال والتعافي من الكوارث (BCDR): استمرارية الأعمال والتعافي من الكوارث (BCDR) يمكن التعامل معهما معًا أو بشكل منفصل حسب احتياجات العمل. في الآونة الأخيرة، تتجه المزيد والمزيد من الشركات نحو ممارسة هذين التخصصين معًا، حيث تطلب من المديرين التنفيذيين التعاون في ممارسات BC وDR بدلاً من العمل بشكل منفصل. وقد أدى ذلك إلى دمج المصطلحين في مصطلح واحد، BCDR, لكن المعنى الأساسي للممارستين يبقى دون تغيير.

بغض النظر عن الطريقة التي تختارها للتعامل مع تطوير BCDR في مؤسستك، فمن الجدير بالذكر مدى سرعة نمو هذا المجال في جميع أنحاء العالم. نظرًا لأن نتائج BCDR السيئة مثل فقدان البيانات وتوقفها عن العمل أصبحت أكثر تكلفة، فإن العديد من الشركات تضيف المزيد إلى استثماراتها الحالية. في العام الماضي، كانت الشركات في جميع أنحاء العالم على وشك إنفاق 219 مليار دولار أمريكي على الأمن السيبراني والحلول، بزيادة قدرها 12٪ عن العام السابق وفقاً لتقرير حديث صادر عن مؤسسة البيانات الدولية (IDC) (الرابط موجود خارج ibm.com).

ما أهمية استمرارية الأعمال وخطط التعافي من الكوارث؟

تساعد خطط استمرارية الأعمال (BCPs) وخطط التعافي من الكوارث (DRPs) المؤسسات على الاستعداد لمجموعة واسعة من الحوادث غير المخطط لها. عند نشرها بشكل فعال، يمكن لخطة التعافي من الكوارث الجيدة أن تساعد أصحاب المصلحة على فهم المخاطر التي تتعرض لها وظائف العمل العادية بشكل أفضل والتي قد يشكلها تهديد معين. من المرجح أن تتعرض الشركات التي لا تستثمر في التعافي من الكوارث لاستمرارية الأعمال (BCDR) لفقدان البيانات وتوقف العمل والعقوبات المالية والإضرار بالسمعة بسبب حوادث غير مخطط لها.

فيما يلي بعض الفوائد التي يمكن أن تتوقعها الشركات التي تستثمر في استمرارية الأعمال وخطط التعافي من الكوارث:

• تقصير فترة التوقف عن العمل: عندما تؤدي الكارثة إلى إيقاف العمليات التجارية العادية، فقد يكلف ذلك المؤسسات مئات الملايين من الدولارات للعودة إلى العمل مرة أخرى. رقيقة هجمات الكترونية إنها ضارة بشكل خاص، وكثيرًا ما تجتذب اهتمامًا غير مرغوب فيه وتتسبب في فرار المستثمرين والعملاء إلى المنافسين الذين يعلنون عن فترات توقف أقصر. يمكن أن يؤدي تنفيذ خطة BCDR القوية إلى تقصير الإطار الزمني للتعافي بغض النظر عن نوع الكارثة التي تواجهها.
• انخفاض المخاطر المالية: وفقًا  تقرير IBM الأخير لتكلفة خرق البيانات، بلغ متوسط ​​تكلفة اختراق البيانات 4.45 مليون دولار أمريكي في عام 2023، أي بزيادة قدرها 15% منذ عام 2020. وقد أظهرت الشركات التي لديها خطط قوية لاستمرارية الأعمال أنها تستطيع تقليل تلك التكاليف بشكل كبير عن طريق تقليل فترات التوقف عن العمل وزيادة ثقة العملاء والمستثمرين.
• العقوبات المخففة: يمكن أن تؤدي انتهاكات البيانات إلى فرض عقوبات كبيرة عند تسرب معلومات خاصة بالعميل. الشركات التي تعمل في مجال الرعاية الصحية والتمويل الشخصي معرضة لخطر أكبر بسبب حساسية البيانات التي تتعامل معها. يعد وجود استراتيجية قوية لاستمرارية الأعمال أمرًا ضروريًا للشركات التي تعمل في هذه القطاعات، مما يساعد على إبقاء مخاطر العقوبات المالية الثقيلة منخفضة نسبيًا.

كيفية بناء خطة التعافي من الكوارث لاستمرارية الأعمال

يعد التخطيط لاستمرارية الأعمال والتعافي من الكوارث (BCDR) أكثر فعالية عندما تتخذ الشركات نهجًا منفصلاً ولكن منسقًا. في حين أن خطط استمرارية الأعمال (BCPs) وخطط التعافي من الكوارث (DRPs) متشابهة، إلا أن هناك اختلافات مهمة تجعل تطويرهما بشكل منفصل مفيدًا:

• تركز خطط استمرارية الأعمال القوية على التكتيكات اللازمة للحفاظ على سير العمليات العادية قبل وقوع الكارثة وأثناءها وبعدها مباشرة. 
• تميل DRPs إلى أن تكون أكثر تفاعلية، حيث تحدد طرق الاستجابة للحادث واستعادة كل شيء وتشغيله بسلاسة.

قبل أن نتعمق في كيفية بناء خطط استمرارية الأعمال وخطط التعافي من الكوارث الفعالة، دعنا نلقي نظرة على بعض المصطلحات ذات الصلة بكليهما:

• هدف وقت الاسترداد (RTO): يشير RTO إلى مقدار الوقت المستغرق لاستعادة العمليات التجارية بعد وقوع حادث غير مخطط له. يعد إنشاء RTO معقولًا أحد أول الأشياء التي يتعين على الشركات القيام بها عند قيامها بإنشاء BCP أو DRP. 
• هدف نقطة الاسترداد (RPO): هدف نقطة الاسترداد لشركتك (RPO) هو مقدار البيانات التي يمكن أن تتحمل خسارتها في حالة وقوع كارثة وما زال بإمكانك استردادها. نظرًا لأن حماية البيانات هي القدرة الأساسية للعديد من المؤسسات الحديثة، فإن بعضها ينسخ البيانات باستمرار إلى جهاز التحكم عن بُعد أرضية مركز البيانات لضمان الاستمرارية في حالة حدوث خرق جسيم. يقوم الآخرون بتعيين RPO مقبول لبضع دقائق (أو حتى ساعات) لاستعادة بيانات العمل من نظام النسخ الاحتياطي ويعرفون أنهم سيكونون قادرين على استرداد كل ما تم فقده خلال تلك الفترة.

كيفية بناء خطة استمرارية الأعمال (BCP) 

في حين أن كل شركة سيكون لها متطلبات مختلفة قليلاً عندما يتعلق الأمر بالتخطيط لاستمرارية الأعمال، إلا أن هناك أربع خطوات مستخدمة على نطاق واسع تؤدي إلى نتائج قوية بغض النظر عن الحجم أو الصناعة.

1. قم بإجراء تحليل تأثير الأعمال 

يساعد تحليل تأثير الأعمال (BIA) المؤسسات على فهم التهديدات المختلفة التي تواجهها بشكل أفضل. يتضمن BIA القوي إنشاء أوصاف قوية لجميع التهديدات المحتملة وأي نقاط ضعف قد تكشفها. كما يقوم BIA بتقدير احتمالية كل حدث حتى تتمكن المنظمة من تحديد أولوياتها وفقًا لذلك.

2. قم بإنشاء استجابات محتملة

لكل تهديد تحدده في BIA الخاص بك، ستحتاج إلى تطوير استجابة لعملك. تتطلب التهديدات المختلفة استراتيجيات مختلفة، لذلك بالنسبة لكل كارثة قد تواجهها، من الجيد إنشاء خطة مفصلة لكيفية التعافي المحتمل.

3. تعيين الأدوار والمسؤوليات

الخطوة التالية هي معرفة ما هو مطلوب من كل فرد في فريق التعافي من الكوارث في حالة وقوع كارثة. يجب أن توثق هذه الخطوة التوقعات وتأخذ في الاعتبار كيفية تواصل الأفراد أثناء وقوع حادث غير مخطط له. تذكر أن العديد من التهديدات تؤدي إلى إيقاف إمكانات الاتصال الرئيسية مثل الشبكات الخلوية وشبكات Wi-Fi، لذا فمن الحكمة أن يكون لديك إجراءات اتصال احتياطية يمكنك الاعتماد عليها.

4. تدرب على خطتك وراجعها

بالنسبة لكل تهديد قمت بالاستعداد له، ستحتاج إلى ممارسة خطط BCDR وتحسينها باستمرار حتى تعمل بسلاسة. تدرب على سيناريو واقعي قدر الإمكان دون تعريض أي شخص لخطر فعلي حتى يتمكن أعضاء الفريق من بناء الثقة واكتشاف كيفية أدائهم المحتمل في حالة انقطاع استمرارية العمل.

كيفية بناء خطة التعافي من الكوارث (DRP)

وكما هو الحال في خطط استمرارية الأعمال، تحدد خطط تخطيط التنمية الأدوار والمسؤوليات الرئيسية ويجب اختبارها وتحسينها باستمرار لتكون فعالة. فيما يلي عملية مكونة من أربع خطوات مستخدمة على نطاق واسع لإنشاء DRPs.

1. قم بإجراء تحليل تأثير الأعمال

كما هو الحال مع خطة استمرارية الأعمال الخاصة بك، يبدأ نظام DRP الخاص بك بتقييم دقيق لكل تهديد يمكن أن تواجهه شركتك وما هي الآثار المترتبة عليه. ضع في اعتبارك الضرر الذي قد يسببه كل تهديد محتمل واحتمالية مقاطعة عمليات عملك اليومية. يمكن أن تشمل الاعتبارات الإضافية فقدان الإيرادات، ووقت التوقف عن العمل، وتكلفة إصلاح السمعة (العلاقات العامة)، وخسارة العملاء والمستثمرين بسبب الصحافة السيئة.

2. قم بجرد الأصول الخاصة بك

تتطلب DRPs الفعالة منك أن تعرف بالضبط ما تمتلكه مؤسستك. قم بإجراء عمليات الجرد هذه بانتظام حتى تتمكن بسهولة من تحديد الأجهزة والبرامج والبنية التحتية لتكنولوجيا المعلومات وأي شيء آخر تعتمد عليه مؤسستك في وظائف العمل المهمة. يمكنك استخدام التصنيفات التالية لتصنيف كل أصل وتحديد أولويات حمايته - الحرجة والمهمة وغير المهمة.

• حرج: قم بتسمية الأصول بأنها هامة إذا كنت تعتمد عليها في عمليات عملك العادية.
• هام: قم بإعطاء هذه التسمية لأي شيء تستخدمه مرة واحدة على الأقل يوميًا، وإذا تم تعطيله، فسيؤثر ذلك على عملياتك المهمة (ولكن ليس إيقافها بالكامل).
• غير مهم: هذه هي الأصول التي تمتلكها شركتك ولكنها تستخدمها بشكل غير متكرر بما يكفي لجعلها غير ضرورية للعمليات العادية.

3. تعيين الأدوار والمسؤوليات

كما هو الحال في خطة استمرارية الأعمال الخاصة بك، ستحتاج إلى وصف المسؤوليات والتأكد من أن أعضاء فريقك لديهم ما يحتاجون إليه لأداء هذه المسؤوليات. فيما يلي بعض الأدوار والمسؤوليات المستخدمة على نطاق واسع والتي يجب مراعاتها:

• مراسل الحادث: شخص يحتفظ بمعلومات الاتصال للأطراف ذات الصلة ويتواصل مع قادة الأعمال وأصحاب المصلحة عند حدوث أحداث مدمرة.
• DRP مشرف: شخص يضمن قيام أعضاء الفريق بأداء المهام التي تم تكليفهم بها أثناء وقوع الحادث. 
• مدير الأصول: شخص مهمته تأمين وحماية الأصول الحيوية عند وقوع الكارثة. 

4. تدرب على خطتك

تمامًا كما هو الحال مع BCP الخاص بك، ستحتاج إلى ممارسة DRP الخاص بك وتحديثه باستمرار حتى يكون فعالاً. تدرب بانتظام وقم بتحديث مستنداتك وفقًا لأي تغييرات ذات معنى يجب إجراؤها. على سبيل المثال، إذا حصلت شركتك على أصل جديد بعد تشكيل DRP الخاص بك، فستحتاج إلى دمجه في خطتك للمضي قدمًا وإلا فلن يكون محميًا عند وقوع الكارثة.

أمثلة على استمرارية الأعمال القوية وخطط التعافي من الكوارث

سواء كنت بحاجة إلى خطة لاستمرارية الأعمال (BCP)، أو خطة للتعافي من الكوارث (DRP)، أو العمل معًا أو بشكل منفصل، فقد يكون من المفيد النظر في كيفية قيام الشركات الأخرى بوضع خطط لتعزيز استعدادها. فيما يلي بعض الأمثلة على الخطط التي ساعدت الشركات في إعداد كل من BC وDR.

• خطة إدارة الأزمات: يمكن أن تكون الخطة الجيدة لإدارة الأزمات جزءًا من استمرارية الأعمال أو التخطيط للتعافي من الكوارث. خطط إدارة الأزمات عبارة عن مستندات تفصيلية توضح كيفية إدارة تهديد معين. وهي توفر تعليمات مفصلة حول كيفية استجابة المنظمة لنوع معين من الأزمات، مثل انقطاع التيار الكهربائي أو الجرائم الإلكترونية أو الكوارث الطبيعية؛ على وجه التحديد، كيف سيتعاملون مع الضغوط ساعة بساعة ودقيقة بدقيقة أثناء وقوع الحدث. ترتبط العديد من الخطوات والأدوار والمسؤوليات المطلوبة في استمرارية الأعمال والتخطيط للتعافي من الكوارث بخطط إدارة الأزمات الجيدة.
• خطة الاتصالات: تنطبق خطط الاتصالات (أو خطط الاتصالات) بالتساوي على استمرارية الأعمال وجهود التعافي من الكوارث. وهي توضح كيف ستتعامل مؤسستك على وجه التحديد مع مخاوف العلاقات العامة أثناء وقوع حادث غير مخطط له. لبناء خطة اتصالات جيدة، يقوم قادة الأعمال عادة بالتنسيق مع متخصصي الاتصالات لصياغة خطط الاتصالات الخاصة بهم. لدى البعض خطط محددة للكوارث التي تعتبر محتملة وشديدة, حتى يعرفوا بالضبط كيف سيستجيبون.
• خطة استعادة الشبكة: تساعد خطط استعادة الشبكة المؤسسات على استعادة انقطاعات خدمات الشبكة، بما في ذلك الوصول إلى الإنترنت والبيانات الخلوية وشبكات المنطقة المحلية (LANs) وشبكات المنطقة الواسعة (WANs). عادةً ما تكون خطط استعادة الشبكة واسعة النطاق نظرًا لأنها تركز على حاجة أساسية وضرورية - وهي الاتصالات - ويجب اعتبارها من ناحية استمرارية الأعمال أكثر من التركيز على التعافي من الكوارث. نظرًا لأهمية العديد من الخدمات المتصلة بالشبكة بالنسبة للعمليات التجارية، تركز خطط استعادة الشبكة على الخطوات اللازمة لاستعادة الخدمات بسرعة وفعالية بعد انقطاعها.
• مركز البيانات خطة التعافي: من المرجح أن يتم تضمين خطة استرداد مركز البيانات في BCP أكثر من DRP نظرًا لتركيزها على أمان البيانات والتهديدات التي تتعرض لها البنية التحتية لتكنولوجيا المعلومات. تشمل بعض التهديدات الشائعة للنسخ الاحتياطي للبيانات إرهاق الموظفين والهجمات الإلكترونية وانقطاع التيار الكهربائي وصعوبة اتباع متطلبات الامتثال. 
• خطة التعافي الافتراضية: مثل خطة مركز البيانات، من المرجح أن تكون خطة الاسترداد الافتراضية جزءًا من BCP بدلاً من DRP بسبب تركيز BCP على تكنولوجيا المعلومات وموارد البيانات. تعتمد خطط التعافي الافتراضية على آلة افتراضية (VM) المثيلات التي يمكن أن تتأرجح إلى التشغيل خلال بضع دقائق من الانقطاع. الأجهزة الافتراضية هي تمثيلات/محاكيات لأجهزة الكمبيوتر المادية التي توفر استردادًا مهمًا للتطبيقات من خلال التوفر العالي (HA)، أو قدرة النظام على العمل بشكل مستمر دون فشل.

استمرارية الأعمال وحلول التعافي من الكوارث 

حتى الانقطاع البسيط يمكن أن يعرض عملك للخطر. لدى شركة IBM مجموعة واسعة من خطط الطوارئ وحلول التعافي من الكوارث للمساعدة في إعداد أعمالك لمواجهة مجموعة متنوعة من التهديدات بما في ذلك قدرات النسخ الاحتياطي السحابي والتعافي من الكوارث وخدمات الأمن والمرونة.

قم بحماية البيانات وسرعة الاسترداد باستخدام حلول تخطيط استمرارية الأعمال من IBM