چندی پیش در یک همایش ملی گفتم ما بزرگترین قربانی حملات سایبری در دنیا هستیم. یکی از حضار متعجبانه پرسید:” واقعا می‌گویید؟” گفتم بله! خاطرتان هست که یکی از مشهورترین و پیچیدهترین این حملات، بدافزار استاکسنت (Stuxnet) بود که در سال ۲۰۱۰ کشف شد. این حمله که به طور خاص برای هدف گیری سامانه های کنترل صنعتی در تاسیسات هسته ای ایران طراحی شده بود، به عنوان نخستین حمله سایبری فیزیکی (با تأثیر مستقیم بر تجهیزات صنعتی) شناخته می شود. استاکسنت به طور غیرمستقیم باعث اختلال در سانتریفیوژهای غنی سازی اورانیوم شد و نشاندهنده تحولی بزرگ در جنگ سایبری بود. پس از آن ، ایران به طور مکرر هدف حملات سایبری پیشرفته تری قرار گرفته است، از جمله حملات بدافزاری مانند فلیم (Flame) در ۲۰۱۲ و شمعون (Shamoon) در ۲۰۱۶. این حملات اغلب با اهداف سیاسی، امنیتی یا تخریب زیرساختهای حیاتی کشور مرتبط بوده اند. به عبارت دیگر کشورهایی پشت این حملات قرار داشتند، حملاتی که بسیار فراتر از یک حمله هکری توسط یک شخص یا یک گروه کوچک بود. مدیریت استمرار کسب و کار(Business Continuity Management) و مدیریت ریسک(Risk Management) را به خصوص در ایران جدی‌تر بگیریم. در این باره بیشتر خواهم نوشت.

#RiskManagement
hashtag#BusinessContinuityManagment
hashtag#Dr.M.Sharifi
hashtag#ISO31000
hashtag#ISO22301

اکنون دیگر تحول دیجیتال در شرکت‌ها به یک ضرورت تبدیل شده است. برای نیل به تحول دیجیتال در حوزه فناوری اطلاعات سازمان‌ها ایزو ۳۸۵۰۰ پیشنهاد شده است. این ایزو الزاماتی را مطرح نموده است که بدون اشاره به هرگونه راهکاری صرفاً آنچه که بایستی در حوزه آی تی محقق شده باشد را مشخص نموده است. برای نیل به الزامات مطرح شده در این استاندارد نیاز به یک سری استانداردهای / چهارچوب‌های دیگر از جمله COBIT،ISMS،TOGAF،ITSMوBCM می‌باشد. گستره این استانداردها و چهارچوب‌ها به گونه‌ای است که با توجه به بلوغ سازمانی و فرهنگ سازمانی شرکت مربوطه سال‌ها برای برای پیاده ‌سازی همه آنها نیاز می‌باشد. خوشبختانه، APQCیک چارچوب اختصاصی برای حوزه خودروسازی می‌باشد که به صورت Agile حداقل‌های لازم برای دستیابی به الزامات حاکمیت فناوری اطلاعات در حوزه خودروسازی برشمرده است. به این ترتیب می‌توان بر اساس ساختار سازمانی شرکت خودروسازی مربوطه و الزامات مورد نیاز یک Roadmapبرای دستیابی به الزامات حاکمیتی بر اساس نیازهای کسب کاری، استراتژی ذینفعان و الزامات بالادستی تهیه نمود و در راستای افزایش بلوغ حاکمیت دیجیتال در حوزه ITخودروسازی‌ها حرکت نمود.

این مدل را خیلی از شما می‌شناسید.  مدلی است که به وسیله آن در ابتدا روند افسردگی افراد ترسیم می‌گردید. در ادامه این مدل برای تحلیل مقاومت افراد در برابر تغییرات مورد استفاده قرار گرفت. با این وجود چیزی که برای من با توجه به تجربه کار با ملیت‌های مختلف آشکار شده است، این است که نژادهای مختلف رفتارهای متفاوتی از خود بروز می‌دهند. به طور خاص تجربه من در خصوص ایرانیان نشان داده است که مهم‌ترین گام موفقیت در انجام هر پروژه که مستلزم تغییر در رفتار افراد آن است،همان مرحله اول نمودار(شوک) می‌باشد. اگر بتوان با تمهیدات لازم که صرفاً موضوع قاطعیت و اعمال قدرت نیست از این مرحله به خوبی عبور کنیم سایر مراحل معمولا ساده‌تر طی می شود. اما در صورتی که نتوان این مرحله را با موفقیت عبور نمود دیگرپروژه با شکست مواجه شده و مراحل دیگری وجود نخواهد داشت. در واقع در مقایسه با ملیت‌های دیگری که من تجربه داشته ام، انرژی بسیار زیادتری در این مرحله نیاز است تا بتوان بر مقاومت ایجاد شده در شرکتهای ایرانی بخصوص قدیمی ترها فایق آمد. نکته قابل توجه این است که به همان میزان که مقاومت بیشتری در مرحله اول برای پذیرش تغییر بین ایرانیان شاهد هستیم،در مرحله پذیرش/مرحله انطباق نیز تغییر تبدیل به عادت شده و به شدت مورد توجه ذی نفعان ایرانی مربوطه قرار می گیرد، به گونه ای که دیگر به این آسانی قابل تغییر نیست. به عبارت دیگر هر چقدر در ابتدای امر شروع این گونه پروژه‌ها زحمت زیادی برای تغییرات جدید لازم است به همان میزان مقاومت بسیار زیادی برای تغییرعادت‌های پذیرفته شده در مرحله آخر این مدل نیاز می‌باشد!

به نظرم الان دیگر همه ما قبول کرده‌ایم که در حال گذر در یک پیچ تاریخی هستیم. دنیا به شدت دستخوش تغییرات سریع و اساسی شده است. قدرت‌های بزرگ جهانی پس از دهه‌ها در حال ظهور هستند. اگر نگوییم تغییر موازنه قدرت از غرب به شرق که پس از صدها سال در حال رخ دادن است، حداقل نوعی بالانس قدرت بین شرق و غرب در حال رخ دادن است. در عین حال دانش نیز به سرعت در حال تکامل است، البته به همراه ابزارهای فناوری نرخ تکامل دانش سیر تصاعد هندسی به خود گرفته است. در این وانفسا ریسک فعالیت‌ها به شدت در حال تنوع پیدا کردن و شدت یافتن است. به طور کلی می‌دانیم که انواع ریسک‌ها عبارتند از:

ریسکهای فناوری اطلاعات (IT Risks)::مانند نقض امنیت سایبری، خرابی سیستمها یا عدم انطباق با استانداردهایی مثل ISO 27001

ریسکهای عملیاتی (Operational Risks)::اختلال در زنجیره تأمین، خطای انسانی یا نقص فرآیندها

ریسکهای استراتژیک (Strategic Risks)::تغییرات بازار، رقابت فناورانه یا سیاستهای دولتی

ریسکهای انطباقی (Compliance Risks)::عدم رعایت قوانین داخلی یا بین المللی

در نظر گرفتن همه اینگونه ریسک‌ها یک ضرورت اساسی است که روز به روز پرداختن به آن ها در مدیریت کلان وزارتخانه‌ها، سازمان‌ها و همچنین هلدینگ‌ها،شرکت‌های بزرگ صنعتی و خدماتی بیشتر احساس نیاز می‌کنیم. به خصوص با توجه به شرایط کنونی ایران این نیاز بیشتر و بیشتر احساس می‌شود. از همین جهت است که GRC در ایران نیز به صورت فزاینده‌ای مورد توجه قرار گرفته است.

برای ریسک تعاریف مختلفی ارائه شده است و از ابعاد متفاوتی نیز به آن نگریسته شده است. بر اساس فرمول ذیل می‌توان دقیق‌تر وموشکافانه‌تر از دیدگاه مهندسی ریسک را تعریف و تحلیل نمود. بر اساس این تعریف ریسک برابر است با حاصل ضرب آسیب پذیریها ضرب در تهدیدات تقسیم بر اقدامات متقابل. به اعتقاد من این تعریف گویای  واقعیت بسیار مهمی است. اگر کسر این معادله برابر صفر باشد بدین معنا که در سازمان هیچ گونه اقدام تقابلی برای ریسک اندیشیده نشده و انجام نشده باشد،در این صورت مخرج کسر برابر با صفر است. صفر بودن مخرج کسر بدین معنا است که صورت کسر به سمت بی‌نهایت میل پیدا می‌کند. به عبارت دیگر بی‌نهایت ریسک سازمان را تهدید می‌کند. پس بنابراین تعجب نکنیم اگر از هر زاویه با هر درجه‌ای تهدیدی متوجه کسب و کار شرکت یا سازمان شده و آسیب جدی به آن چه از بعد حیثیتی و چه از بعد مالی و نظایر آن بزند. مدیریت ریسک(Risk Management)، مدیریت استمرار کسب و کار(Business Continuity Management) و برنامه خروج از بحران(Disaster Recovery Plan) را جدی بگیریم.

Risk Management#

Business Continuity Management#

Disaster Recovery Plan#

Dr.Sharifi#

سازمان‌ها و شرکت‌ها معمولاً در حوزه IT آن گستردگی لازم را برای پیاده سازی تمامی فرآیندهای ITSM را به صورت کامل و جامع بر اساس ISO 20000و یا ITIL را ندارند. بر این اساس بهترین راهکار این است که تعدادی از فرآیندهایی که از نظر مضمونی  وظیفه‌ای در یک راستا دارا می‌باشند را در هم ادغام نمود. بر همین اساس می‌توان بر اساس اهمیت فرآیند برای سازمان و یا بضاعت آن، یک مالک را برای دو یا چند فرآیند به صورت همزمان در نظر گرفت. همچنین برای جلوگیری از بروکراسی در حوزه IT یک سری از وظایف مهم فرآیندها را نیز در هم ادغام نمود. نمونه‌ای از این فرآیندها مدیریت رویداد، مدیریت رخداد، مدیریت درخواست و یا حتی مدیریت مشکل است که در یک پکیج به صورت مشترک می توان قرار داد. حتی می‌توان بنابر وضعیت سازمان حوزه مانیتورینگ را نیز در این قسمت گنجاند. از این موارد می‌توان به مدیریت آمادگی و مدیریت ظرفیت نیز اشاره نمود.

بحران همیشه در کمین سازمان‌ها  و صنایع مختلف در سراسر دنیا هست. در مورد ایران نیز همین وضعیت صدق می‌کند. حتی می‌توان ادعا نمود با توجه به شرایط خاص منطقه‌ای که ایران در آن قرار دارد و همینطور مواضع و اقداماتی که ایران انجام می‌دهد امکان بروز بحران در ایران بیشتر است که تجربه نیز این را ثابت کرده است. یکی از ابعاد مهم مدیریت بحران برنامه ریزی برای مدیریت ارتباطات با ذینفعان  به خصوص شهروندان می‌باشد. با توجه به همین تصویری که مشاهده می‌شود نیز خاطرات بسیاری از پاسخگو نبودن و یا ایجاد ابهامات و حتی فرافکنی در خصوص بیان اتفاقات پیش آمده و مدیریت افکار عمومی در این خصوص در اذهان همه ما وجود دارد. راهکار ایجاد ثبات  تصمیم‌گیری‌ها و نگرش درست در هدایت منطقی و اصولی ذینفعان ایجاد ب می‌باشد. این برنامه که خلا وجود آن در تمام ارکان نظام و کشور،چه در حاکمیت و چه در بخش خصوصی، مشاهده می‌شود دارای ارکانی تشکیل یافته از قسمت‌های ذیل می‌باشد:

• تیم ارتباطات بحران
• سخنگو(ها)
• شناسایی ذینفعان
• کانال‌های ارتباطی
• توسعه پیام
• روابط با رسانه
• ارتباطات داخلی
• نظارت و بازخورد
• آموزش و تمرین
• ارزیابی پس از بحران

پرداختن جدی و اصولی به شکل دهی چنین برنامه‌ای لازمه استمرار ایجاد یک ذهنیت خوب و مثبت برای ذینفعان و افکار عمومی می‌باشد، چیزی که به شدت از آن غافل  مانده‌ایم.

دو مفهوم ذیل را در ارایه خدمت در نظر داشته باشیم:

قرارداد سطح خدمات (Service Level Agreement(SLA))

قراردادی است بین ارائه کننده خدمات فناوری اطلاعات و یک مشتری. این قرارداد اهداف و انتظارات سطح خدمات را ثبت نموده و مسئولیت های ارائه کننده و مشتری را مشخص می کند. 

نیازمندیهای سطح خدمات (Service Level Requirements)

نیاز مشتری به یک جنبه از خدماتIT بر اساس اهداف کسب و کار را گویند که آن هم در قالب یک سطحی بیان می شود.

جالبه بدونید که تفاوت مفاهیمی مانند SLA و SLR  رو می شود در شکل ذیل ترسیم کرد:

البته یک (SLO)Service Level Operation که به معنای سطح خدمتی هست که واقعا تحویل می شود که البته می تونه در جاهای مختلف متفاوت از SLA به مشتری تحویل داده بشود.

حاکمیت فناور اطلاعات یکی از مباحث روز دنیا در حوزه مدیریت IT در سازمان‌ها می‌باشد.
استاندارد ISO/IEC 38500 که به تازگی به روز شده است، شش اصل کلیدی را برای حاکمیت مؤثر فناوری اطلاعات (IT) در سازمانها می شمرد که عبارتند از: مسئولیت: اطمینان حاصل کردن از این که نقش‌ها و مسئولیت‌های مربوط به حاکمیت IT به‌طور واضح تعریف و در کل سازمان درک شده‌اند؛ استراتژی: استراتژی IT را با اهداف سازمانی هماهنگ کردن؛خرید: تصمیمات آگاهانه‌ در مورد خرید منابع و خدمات IT ؛عملکرد: عملکرد سرمایه‌گذاری‌ها و منابع IT را ارزیابی و مدیریت کردن؛رعایت: به الزامات قانونی، مقررات و سیاست‌های مرتبط با ITو نهایتا رفتار انسانی:درک اهمیت مدیریت رفتار انسانی در ارتباط با IT. به این منظور مدعی ترین چارچوبی که می توان نام برد، COBIT می باشد.