علاج واقعه قبل از وقوع باید کرد
نگاهی اجمالی به ضرورت BCP در تداوم کسب وکارها
شاید بارها در مراودات خود دو ضربالمثل «علاج واقعه قبل از وقوع باید کرد» و «پیشگیری بهتر از درمان است» را شنیده باشید که میتوان گفت از کاربردیترین ضربالمثلهای زبان فارسی هستند.
در واقع اشاره به چارهاندیشی برای کاری دارد که ممکن است در آینده ما را دچار مشکل سازد.
حالا این چارهاندیشی و آیندهنگری در حرفهها و صنعتهای مختلف، اصطلاحهای متفاوتی دارد.
در سازمانها و تجارتهای مختلف معمولاً مجموعهای از فرآیندها و دستورالعملها برای زمان بحران یا خسارت در نظر گرفته میشود که به Business Continuity Plan و یا BCP معروف است.
به عبارت دیگر BCP به معنی طرح تداوم کسبوکار یا طرح تداوم تجارت مشهور است، در واقع مجموعهای از فرآیندها و دستورالعملهاست که توسط یک سازمان پیادهسازی میشود تا سازمان بتواند بعد یا در هنگام بروز یک فاجعه به کار خود و روند فعالیتی روزمره خود ادامه دهد.
با توجه به ضرورت برخورداری از BCP در هر سازمان دوراندیش، در این شماره مجله گفتوگوی تفصیلی با «اردلان حاج مهدی» کارشناس ارشد امنیت اطلاعات در حوزه زیرساخت و امنیت شرکت آلیاسیس ارتباط انجام دادهایم تا به صورت شفافتر با BCP و هدف از اجرای آن آشنا شویم.

نگاهی اجمالی به ضرورت BCP در تداوم کسب وکارها
BCP یا طرح تداوم کسبوکار چیست؟
به مجموعهای از فرآیندها و دستورالعملها اطلاق میشود که توسط یک سازمان پیادهسازی میشود تا سازمان بتواند بعد یا در هنگام بروز یک فاجعه به کار خود و روند فعالیتی روزمره خود ادامه دهد.
با استفاده از پیادهسازی یک طرح تداوم کسبوکار (BCP)، سازمانها در واقع به دنبال حفاظت از سرویسهای حساس و حیاتی خود هستند تا بتوانند بعد از بروز فاجعه یا Disaster این سرویسها را بلافاصله به مدار برگردانند و تجارت و کسبوکار خود را ادامه دهند.
انجام این طراحی و برنامهریزی، به سازمان اجازه میدهد تا بتواند سرویسها را به سرعت بازیابی و در سریعترین زمان و با بالاترین کیفیت، به سطح عملیاتی کامل خود برساند.
در BCP معمولاً تمامی فرآیندهای حساس تجاری سازمانی و همه عملیاتهای مهم تجاری، تحت پوشش قرار میگیرند.
BCP یک طرح کلان است و معمولاً در سطح کلان هم اجرا میشود.
BCP چه بخشهایی از سازمان را درگیر میکند؟
هر قسمتی از سازمان که در صورت بروز حوادث طبیعی، غیرطبیعی و حتی خطای انسانی، دچار اختلال شود و به تبع آن، کسب وکار متوقف شود و یا آسیب ببیند، میتواند در قلمرو این طرح قرار گیرد.
به عنوان مثال میتوان به تجهیزات، سرورها و سرویسهای زیرساخت اشـاره کرد.
در واقع BCP با ایجاد طرح، فرآیند و دستورالعمل به آمادهسازی سازمانی برای گذر از شرایط غیرطبیعی در هنگام بروز فاجعه کمک میکند.

نگاهی اجمالی به ضرورت BCP در تداوم کسب وکارها
اولین قدم در پیادهسازی BCP چیست؟ اجرای یک BCP شامل چند فاز است و چه مراحلی را باید طی کرد؟
در گام اول برای راهاندازی BCP باید واحدهای مختلف و فرآیندهای بحرانی سازمان و منابع مورد نیاز جهت پشـتیبانی (تحلیل تأثیر بر تداوم کسبوکار)، سرویسها و عملکردهایشان را شناسایی کرد.
در گام دوم باید مستندسازی انجام و فرآیندها مشخص و همچنین دستورالعملها برای هر واحدی ایجاد شود.
در گام سوم کمیتهای تشکیل میشود که در صورت بروز اتفاق، براساس دستورالعملها، سرویسها را بازیابی کنند.
در گام آخر جلسه آموزشی بهمنظور تست سرویسها برگزار میشود. اگر بخواهیم به صورت خلاصه عنوان کنیم، اجرای BCP دارای چهار بخش کلی است:
- تشکیل تیم تداوم کسبوکار، تولید طرح بهمنظور مدیریت و کنترل وقفههای احتمالی در روند کار.
- شناسایی واحدها و فرآیندها (تحلیل تاثیر بر تداوم کسبوکار) – (Business Impact Analysis ).
- شناسایی، مستندسـازی و پیادهسـازی روشهای بازیابی، احیای واحدها و فرایندهای بحرانی کسبوکار.
- برگزاری دورههای آموزشی برای تیم تشـکیل شده، آزمایش طرح ایجاد شده و ارزیابی میزان تاثیر آن در بازگشت به روال عادی کسبوکار.
آیا BCP همانplan Disaster recovery است؟
BCP به طرح کلان تداوم کسبوکار تلقی میشود ولی DRP یک زیرمجموعه از آن طرح کلان است.
DRP دستورالعملهای مستقل در بخشها و محدودههای مختلف است که به مجموعه در قالب یک طرح جامع، BCP گفته میشود.
بنابراین میتوانیم به DRP به عنوان یک زیرمجموعه از آن طرح کلان BCP نگاه کنیم.
برای اینکه بتوانیم در یک سازمان طرح تداوم کسبوکار کامل و جامع داشته و آن را پیاده سازی کنیم، نیاز به طراحی و پیادهسازی مجموعهای از DRPها داریم.
DRP برخلاف BCP که به همه مسائل نگاه کلان دارد، نگاه جزئیتر و دقیقتری به مشکلات دارد.
DRPها معمولاً به صورت طرحهای کوچک فنی برای گروههای خاص در یک سازمان طراحی و تدوین میشود.
بعضاً برای هر قسمت از فعالیتهای سازمانی به صورت جداگانه یک بازیابی از فاجعه ایجاد میکند.
زمان درسـت برای بـهروزرسانی BCP یـک سازمان چه زمانی است؟
به صورت کلی، پیشنهاد میشود طرح کلان BCP حداکثر هر ۶ ماه یک بار بهروزرسـانی شود. این زمان با توجه به انواع و اهمیت تجارتها متغیر است.
تجارتهای در حال توسعه به دلیل اضافه شدن سرویسهای حیاتی و امنیتی و همچنین وسیع شدن زیرسـاختها، نیاز به بروزرسـانی گاهاً سه ماهه خواهند داشت.

در شرکتهای ایرانی چقدر نیاز به این طرح احساس میشود؟ بیشتر چه صنعتهایی به مزایای BCP نیاز پیدا خواهند کرد و چرا؟
هر صنعتی که اختلال در زیرساختهای آن باعث توقف کسبوکار شود، نیاز به پیادهسازی این طرح دارد.
در چندین سال گذشته شاهد الزام پیادهسازی این طرح برای صنعت بانکداری و شرکتهای اقماری وابسته به آن بودیم.
در واقع این طرح فقط به زیرساختهای ارتباطی و سرویسهای سازمانها محدود نمیشود و میتواند تمامی قسمتهای سازمان را در برگیرد که با توجه به موارد مذکور، سازمانها و شرکتهای خصوصی و دولتی کوچکتر هم باید از آن طرح بهره گیرند.
چه دلایلی برای اعتماد بازار به اجرا یا بهروزرسانی این طرح توسط آلیاسیس دارید؟
شرکت آلیاسیس با داشتن اعضای فنی مجرب، شناخت زیرساخت بسیاری از سازمانهای بزرگ در سطح کشوری به واسطه پروژههای در دست اجرا و پروژههایی که با موفقیت به پایان رسانده، میتواند راهکارهای جامع و مفیدی از جمله طرح BCP را در اختیار سازمانها قرار دهد.