خانه / مقالات / فناوری اطلاعات / تداوم کسب‌وکار و ممیزی

تداوم کسب‌وکار و ممیزی

تداوم کسب‌وکار و ممیزی
آتش‌سوزی، زلزله، سیل، قطع برق و دیگر انواع بلایا به مرکز داده‌ها آسیب می‌زنند. اما برنامه‌ریزی تداوم کسب‌وکار و بازیابی از فاجعه همچنان می‌تواند مسئله‌ای دشوار باشد، چون این طرح‌ها سهمی در نتیجه نهایی ندارند. اگر مقایسه‌ای با خط‌مشی بیمه داشته باشیم: اگر و تنها اگر یک فاجعه رخ دهد، پول به خوبی صرف شده است. صرف پول برای آماده‌سازی تداوم کسب‌وکار می‌‌تواند پیشنهادی با پایان باز باشد، چون همواره برای آماده‌سازی بهتر سازمان کار بیشتری می‌توان انجام داد.
بلایا ممکن است بدون هشدار رخ دهند، بنابراین بهترین دفاع این است که همان‌طور که در بخش فناوری اطلاعات در عمل توصیف شده از قبل آمادگی لازم را کسب کرد. عنصر مهم در هر سیستم امنیتی طرح تداوم کسب‌وکار است که به آن طرح بازیابی از فاجعه نیز گفته می‌شود. چنین طرحی فرآیندی را که با آن بنگاه‌ها باید از یک فاجعه عمده بازیابی شوند، بیان می‌کند. تخریب همه (یا بیشتر) تأسیسات کامپیوتری می‌تواند خسارت چشمگیری را ایجاد کند. برای بسیاری از سازمان‌ها دشوار است که بدون نشان دادن یک طرح رضایت‌بخش برای پیش‌گیری و بازیابی از فاجعه بتوانند برای کامپیوتر‌ها و سیستم‌های اطلاعاتی خود بیمه کسب کنند.
مدیران فناوری اطلاعات باید برآورد کنند که چه میزان از مخارج برای سطح ریسک قابل‌قبول یک سازمان مناسب است.

فناوری اطلاعات در عمل
تداوم کسب‌وکار بازیابی از فاجعه
نود و سه درصد از شرکت‌هایی که متحمل از دست رفتن چشمگیر داده‌ها می‌شوند در عرض ۵ سال از کسب‌وکار خارج می‌شوند. اگرچه تداوم کسب‌وکار و بازیابی از فاجعه (BC/DR) مسئله‌ای مربوط به بقا در کسب‌وکار است، بسیاری از مدیران دید خطرناکی به این موضوع دارند و آن را مسئله‌ای مربوط به امنیت فناوری اطلاعات می‌دانند. بلایا و فجایع بهترین درس‌ها را برای مدیران فناوری اطلاعات و مدیران اجرایی که فرآیندهای BC/DR را اجرا نکرده‌اند، دارند. همان‌طور که مورد زیر نشان می‌دهد، موفقیت یا شکست آن فرآیند‌ها بستگی به فناوری اطلاعات دارد.
شهر هیوستون در تگزاس و هریس کانتی با تبدیل Reliant Park و Houston Astrodome به یک «شهر موقت» همراه با امکانات پزشکی، داروخانه، اداره پست و میدان شهر سریعاً وارد عمل شدند تا بیش از ۲۵۰ هزار پناهنده از طوفان کاترینا را اسکان دهند. جوزف ج. لئونارد، فرمانده گارد ساحلی این عملیات را رهبری می‌کرد و از دانسته‌های خود از سیستم ملی فرماندهی حوادث بهره می‌برد. به گفته لئونارد، ارتباطات نامؤثر بین کارکنان فرماندهی و آن‌هایی که در نیو اورلئان هستند و می‌توانستند به مراجع هیوستون در مورد تعداد پناهنده‌ها و نیازهای آن‌ها اطلاع‌رسانی کنند، مشکلی جدید را پدید آورد. به‌علاوه، سازمان‌‌هایی که مراجع تصمیم‌گیری ضعیفی را در محل گمارده بودند، تلاش‌ها را برای رفع مشکلات با اختلال و کندی مواجه می‌کردند.
در حال حاضر بنگاه‌ها در دره‌های طوفان‌خیز، نوارهای زلزله‌خیز و شهرهای بزرگ در حال به‌کارگیری طرح‌های BC/DR هستند. این طرح‌ها توسط ابزارهای نرم‌افزاری که به آن‌ها اجازه انتشار و پشتیبان‌گیری برنامه‌های کاربردی حیاتی را به محل‌های دور از مرکز داده اصلی می‌دهد حمایت می‌شوند. در هنگام بروز یک فاجعه، شرکت‌ها می‌توانند سیستم‌های حسابداری، مدیریت پروژه یا تراکنش‌ها و رکوردها را به محل‌های بازیابی فاجعه منتقل کنند و زمان از کار افتادگی و از دست رفتن داده‌ها را علی‌رغم قطعی در محل اصلی به حداقل برسانند.
برنامه‌ریزی تداوم کسب‌وکار
بازیابی از فاجعه زنجیره‌ای از رویدادها است که طرح تداوم کسب‌وکار را به حفاظت و بازیابی پیوند می‌دهد. در زیر چند اندیشه ‌کلیدی در مورد این فرآیند مطرح می‌شود:
 هدف از طرح تداوم کسب‌وکار حفظ کسب‌وکار در حالت اجرا پس وقوع یک فاجعه است. هر عملکردی در کسب‌وکار باید یک طرح توانایی بازیابی معتبر داشته باشد.
 برنامه‌ریزی بازیابی، بخشی از حفاظت از دارایی‌ها است. هر سازمانی باید مسئولیت‌هایی را به مدیریت واگذار کند تا در حیطه فعالیت‌هایشان دارایی‌ها را شناسایی و محافظت کنند.
 برنامه‌ریزی باید در ابتدا روی بازیابی از خسارت کلی تمامی قابلیت‌ها متمرکز شود.
 اثبات توانمندی‌ها معمولاً شامل نوعی تحلیل «چه می‌شود – اگر» است که نشان می‌دهد طرح بازیابی به روز است.
 تمامی برنامه‌های کاربردی حیاتی باید شناسایی شده و رویه‌های بازیابی آن‌ها در طرح مشخص شوند.
 طرح باید به‌گونه‌ای نوشته شود که در هنگام بروز فاجعه مؤثر باشد، نه این ‌که صرفاً برای راضی کردن ممیزان باشد.
 طرح باید در محلی امن نگهداری شود؛ کپی‌هایی باید به همه مدیران کلیدی داده شود یا در اینترانت در دسترس باشد. طرح باید به‌طور دوره‌ای مورد بازبینی قرار گیرد.
برنامه‌ریزی بازیابی از فاجعه می‌تواند بسیار پیچیده باشد و ممکن است تکمیل آن ماه‌ها زمان ببرد. با استفاده از یک نرم‌افزار مخصوص می‌توان برنامه‌ریزی را سرعت بخشید.
دوری گزیدن از فاجعه رویکردی است که به سمت پیش‌گیری گرایش دارد. ایده در اینجا به حداقل رساندن شانس فاجعه‌هایی است که می‌توان از آن‌ها دوری جست (مانند آتش‌سوزی یا دیگر تهدیداتی که انسان ایجاد می‌کند). به‌عنوان مثال، بسیار از شرکت‌ها از وسیله‌ای به نام منبع تغذیه غیرقابل‌قطع (UPS) استفاده می‌کنند که در صورت بروز قطعی برق می‌تواند برق موردنیاز را تأمین کند.

ممیزی سیستم‌های اطلاعاتی
ممیزی قسمتی مهم از هر سیستم کنترلی است. ممیزی را می‌توان به‌عنوان لایه‌ای دیگر از اقدامات کنترلی یا حفاظتی دانست. این کار به‌عنوان عملی بازدارنده برای اقدامات مجرمانه، به‌ویژه برای افراد داخلی، تلقی می‌شود. ممیزان سعی می‌کنند به پرسش‌های زیر پاسخ دهند:
 آیا کنترل‌های کافی در سیستم اعمال می‌‌شوند؟ کدام حیطه‌ها تحت پوشش کنترل‌ها قرار نمی‌گیرند؟
 کدام کنترل‌ها ضروری نیستند؟
 آیا کنترل‌ها به درستی اجرا می‌شوند؟
 آیا کنترل‌ها اثربخش هستند؟ یعنی آیا آن‌ها خروجی سیستم را بررسی می‌کنند؟
 آیا تفکیک صریح وظایف برای کارمندان وجود دارد؟
 آیا رویه‌هایی برای تضمین پیروی از کنترل‌ها وجود دارد؟
 آیا رویه‌هایی برای تضمین گزارش‌دهی و اعمال اصلاحی در صورت تخلف از کنترل‌ها وجود دارد؟
ممیزی یک وب‌سایت اقدام پیشگیرانه خوبی برای مدیریت ریسک حقوقی است. ریسک حقوقی در هر سیستم فناوری اطلاعات مهم است، اما در سیستم‌های وب به‌دلیل محتویات وب‌سایت‌ها که ممکن است موجب آزار و توهین به افراد شود یا نقض قوانین حقوق مؤلف یا دیگر قوانین (از قبیل حفاظت از حریم خصوصی) را به‌دنبال داشته باشد، این امر از اهمیت بیشتری برخوردار است. ممیزی تجارت الکترونیکی حتی پیچیده‌‌تر است، چون علاوه بر وب‌سایت، نیاز به ممیزی سفارش‌گیری، انجام سفارش و دیگر سیستم‌های پشتیبانی نیز وجود دارد.

تحلیل هزینه- فایده
معمولاً ایجاد آمادگی در مقابل هر تهدید احتمالی اقتصادی نیست. بنابراین، برنامه امنیت فناوری اطلاعات باید فرآیندی را مهیا کند تا تهدید‌ها ارزیابی شده و در مورد این‌که برای کدام‌یک باید آمادگی داشت و کدام‌یک را می‌توان نادیده گرفت تصمیم‌گیری شود.
تحلیل مدیریت ریسک. تحلیل مدیریت ریسک را می‌توان با استفاده از بسته‌های نرم‌افزاری پشتیبان تصمیم (DSS) تسهیل کرد. محاسبه ساده شده در زیر نشان داده شده‌ است:
= P1 P2 L زیان مورد انتظار
که در آن
احتمال حمله (تخمینی، بر اساس قضاوت) P1 =
احتمال موفق بودن حمله (تخمینی، بر اساس قضاوت) P2 =
میزان زیان وارده در صورت موفق بودن حمله L=
مثال:
اگر
P1 = 0.02, P2 = 0.10, L=$ 1,000,000
آنگاه زیان مورد انتظار از این حمله خاص برابر است با

P1 P2 L = 0.02 0.10 $ 1,000,000 = $2,000

میزان زیان ممکن است وابسته به طول مدتی باشد که سیستم خارج از عملیات است. بنابراین، بعضاً طول مدت را نیز به تحلیل اضافه می‌کنند.
مسائل اخلاقی. پیاده‌سازی برنامه‌های امنیتی مسائل اخلاقی زیادی را به‌وجود می‌آورد. اولاً، بعضی از افراد با هر نظارتی بر فعالیت افراد مخالفت می‌کنند. تحمیل کنترل‌های خاص از سوی برخی افراد به‌عنوان نقض آزادی بیان یا دیگر آزادی‌های مدنی تلقی می‌شود. یک مطالعه توسط گروه Gartner نشان می‌دهد که حتی پس از حملات تروریستی ۱۱ سپتامبر ۲۰۰۱، تنها ۲۶ درصد از مردم آمریکا ساخت یک پایگاه داده ملی از شناسنامه‌ها را تأیید کردند. بسیاری از افراد استفاده از بیومتریک را تجاوز به حریم خصوصی می‌دانند.
حل مسئله دو راهی حریم خصوصی در مقابل امنیت دشوار است. تعهدات اخلاقی و قانونی دیگری وجود دارند که ممکن است شرکت‌ها را مجبور کنند که «به حریم خصوصی کارکنان وارد شوند» و اعمال آن‌ها را رصد کنند. به‌ویژه، برای محافظت در مقابل زیان، مسئولیت قانونی و دعوی قضایی به اقدامات امنیت فناوری اطلاعات نیاز است. زیان‌ها فقط مالی نیستند، بلکه شامل زیان اطلاعاتی، خسارت به مشتریان، شرکای تجاری، تصویر برند و توانایی هدایت کسب‌وکار به‌دلیل اعمال هکرها، بدافزارها و کارمندان نیز می‌شوند. مسئولیت قانونی از دو قانون اصلی ناشی می‌شود: مسئولیت به عهده کارفرماست و احساس وظیفه. قانون اول کارفرمایان را مسئول سوء رفتار کارمندانی می‌داند که در حوزه استخدام آن‌ها هستند. با وجود فناوری‌های بی‌سیم و نیروی کار متحرک، حیطه استخدام محیطی فراتر از شرکت گسترده شده است.
تحت قانون احساس وظیفه، مدیران و راهبران ارشد تعهدی سرپرستانه دارند تا دقتی ویژه را صرف محافظت از عملیات کسب‌وکار شرکت کنند. دعوی قضایی از عدم موفقیت شرکت در برآورده کردن تعهدات قانونی و وظایف مربوط به مقررات ناشی می‌شود. طبق یک نظرسنجی از ۸۴۰ شرکت آمریکایی توسط انجمن مدیریت آمریکا و مؤسسه خط‌مشی الکترونیکی ، درباره رایانامه و پیام‌دهی سریع در محل کار، از میان هر ۵ کارفرما بیش از یک نفر (۲۱درصد) به‌خاطر رایانامه‌ها یا پیام‌های سریع کارمندان در طی یک پرونده حقوقی یا بازپرسی احضار شده‌اند.

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*

x

شاید بپسندید

ماهنامه کامپیوتری رایانه

تازه‌های امروز…

تیم فوتبال آمریکایی استیلرز برای جلوگیری از آسیب‌های مغزی از ربات استفاده ...