الأمان++: مفاهيم تحليل تأثير الأعمال

الأمن ++: مفاهيم تحليل تأثير الأعمال
تعمل الأعمال التجارية عبر شبكة من العلاقات والعمليات التي يتم تأسيسها وإعادة تأسيسها باستمرار. وهذا يعني أن ما يصلح للأعمال التجارية في الوقت الحالي قد لا يؤدي المهمة في غضون ستة أشهر (أو أي نقطة أخرى في المستقبل). تتغير المتغيرات العديدة التي تجعل ترس الصناعة يدور باستمرار، مما يجعل إدارة الأعمال التجارية صعبة للغاية. في كل خطوة على الطريق، قد ينشأ نوع من العوائق التي توقف أو تؤخر أو تضر بالعمليات المعتادة في الإدارة اليومية للأعمال التجارية.
إن تحديد هذه الأخطاء والمخاطر المحتملة والتعامل معها هو ما يجعل تحليل تأثير الأعمال (BIA) أمرًا بالغ الأهمية. يتم تغطية موضوع BIA في امتحان +CompTIA Security في اختبار +CompTIA Security. الهدف الأساسي المتعلق به هو 5.2، “شرح عناصر عملية إدارة المخاطر”. كما تتم تغطية تحليل التأثير أيضًا في الهدف 1.3، “شرح أهمية عمليات إدارة التغيير
وتأثيرها على الأمن.”
تابع القراءة لمعرفة المزيد عن BIA. للمزيد من المعلومات عن اختبار + Security+، قم بتنزيل كتابنا الإلكتروني المجاني Security+ أو استكشف المعسكر التدريبي على اختبار + Security+ من SPOTO.
ثلاث خطوات رئيسية لتقييم الأثر البيولوجي
يعتمد النهج الموصى به لتطوير BIA على الخطوات الثلاث التالية:
1. تطوير فهم شامل لبيئة العمل
لكي تتمكن شركة ما من تنفيذ تقييم الأثر البيئي الشامل، يجب أن يكون لديها فهم مناسب للعديد من أصول المعلومات المستخدمة لتحقيق مهمة الشركة. ويتم تحقيق ذلك من خلال الاجتماع مع كل وحدة من وحدات الأعمال وفهم التقنيات الضرورية لها لإطلاق مسؤولياتها اليومية. من خلال فهرسة بيئة الأعمال بأكملها، يمكن للمؤسسات التأكد من أن خطة التعافي من الكوارث الخاصة بها تشمل بشكل صحيح جميع الأنظمة اللازمة للحفاظ على العمليات وتحقيق أهدافها.
وكميزة إضافية، قد تكتشف الشركة من خلال هذا التمرين سبلاً محتملة لتوفير التكاليف من خلال تحديد التقنيات غير الضرورية أو الزائدة عن الحاجة.
2. تحديد التقنيات والعمليات الحرجة بسرعة
بمجرد أن تقوم الشركة بفهرسة التقنيات التي تشكل بيئتها الأساسية، يجب عليها تحديد أولوياتها بناءً على مدى أهميتها لتحقيق مهمة المؤسسة وأداء عملياتها اليومية.
وفي حين أن هناك العديد من الطرق لتقييم مدى أهميتها، يجب إكمال التقييم بطريقة تسمح لمستخدمي تقييم الأثر البيئي بمقارنة التقنيات في جميع أنحاء الشركة بشكل متسق. ويمكن للمؤسسة تحقيق ذلك من خلال وضع معيار مشترك لتقييم التقنية أو العملية.
3. وضع معايير واضحة لعمليات التشغيل الآني والعمليات التشغيلية الآنية
مع تحديد التقنيات والعمليات الحرجة، يمكن لمستخدمي تقييم الأثر البيولوجي، بالاشتراك مع قادة وحدات الأعمال، تحديد أهداف وقت التعافي المناسبة وأهداف نقطة التعافي (RTOs) وأهداف نقطة التعافي (RPOs) وتخصيصها بسهولة. وقت التعافي هو المدة المستهدفة التي يمكن أن يكون النظام غير متاح خلالها ويجب استعادته قبل حدوث تأثير غير مقبول على العمليات. RPO هي الفترة القصوى المستهدفة التي يمكن أن يحدث فيها حدث غير مرغوب فيه قبل أن يبدأ النظام في الانهيار.
سيكون للأصول ذات الدرجة العالية من الحرجية فترات تشغيل مؤقتة وأوقات تشغيل مؤقتة وأوقات تشغيل مستهدفة أقل ويجب استعادتها بأسرع وقت ممكن. أما العمليات التي تسجل درجات منخفضة ولديها فترات تشغيل افتراضية أطول للتشغيل والتشغيل المؤقت وأوقات تشغيل محددة لفترة التشغيل والعمليات يمكن التعامل معها بمعدل أبطأ بكثير، نسبياً.
ما الذي يحققه تحليل تأثير الأعمال؟
الغرض من تحليل تأثير الأعمال هو جعل الشركة أقل عرضة للعقبات التي قد تنشأ لأسباب مختلفة. وهو يقوم بذلك من خلال تحقيق الأهداف التالية.
تحديد العمليات والوظائف الرئيسية للأعمال.
وضع قائمة مفصّلة بمتطلبات استرداد الأعمال.
تحديد ما هي أوجه الترابط بين الموارد.
معرفة التأثير على العمليات اليومية.
تطوير الأولويات وتصنيف عمليات ووظائف الأعمال.
تطوير متطلبات وقت التعافي.
تحديد التأثير المالي والتشغيلي والقانوني للتعطل.
كيف يحقق تقييم الأثر البيئي النتائج؟
يمكن أن يكون الحصول على المعلومات الصحيحة لإجراء تقييم الأثر البيولوجي للشركة عملية شاقة، ولهذا السبب من المهم أن يتولى محترفون التعامل معها. لدى هؤلاء المتخصصين ثلاث تقنيات رئيسية لاستخراج المعلومات اللازمة لإنشاء تقييم الأثر البيولوجي الأكثر ملاءمة لأي مؤسسة:
الاستطلاعات
المقابلات
ورش العمل
سيناريوهات التأثير على الشركات
يجب أن تتعامل جميع الشركات القابلة للتطوير أو التوسّع مع سيناريوهات الخسارة المحتملة التي لديها القدرة على تعطيل أو إيقاف العمليات اليومية. يمكن أن يساعد إجراء تقييم المخاطر باستخدام تقييم الأثر البيئي الشركة على تحديد هذه السيناريوهات بشكل استباقي. وفيما يلي بعض من أكثرها شيوعاً في الشركات والصناعات:
الحوادث في مكان العمل
في كثير من الأحيان، تعاني الشركات من خسائر بسبب حوادث مكان العمل. يمكن أن يتسبب حريق في مصنع يتم فيه تنفيذ مهام العمل الحرجة في إغلاق المصنع. قد يؤدي انفجار أنبوب في إمدادات المياه في شركة يعمل فيها العمال على الأرض إلى تعطيل منطقة العمل لفترة طويلة من الوقت. يمكن أن يؤدي أي حادث من هذا القبيل إلى تعطل الآلات، مما يضع نوعًا آخر من الأعطال في خطة العمل. وقد يؤدي الحادث الذي يتسبب في إصابة شخصية أو ضرر لأحد العمال المهمين إلى إبطاء أو إيقاف العملية.
الكوارث الطبيعية
على الرغم من أن شركات التأمين قد تعتبر الكوارث الطبيعية قضاء وقدر، إلا أن هذا لا ينفي حقيقة أن حوادث مثل الزلازل والفيضانات والأعاصير وما شابهها يمكن أن تؤثر بشكل كبير على سير العمل. يمكن أن يتسبب أي من هذه الكوارث في انقطاع التيار الكهربائي الذي يمكن أن يؤدي إلى إغلاق أحزمة صناعية بأكملها.
الأخطاء البشرية
الهندسة الاجتماعية والتصيد الاحتيالي والتعرض العرضي للبيانات وغيرها من الهجمات التي يتورط فيها الموظفون هي أخطاء بشرية. الفئة ذات الصلة هي المطلعون الخبيثون، وهي السرقة المتعمدة أو الحوادث الإلكترونية التي يتسبب فيها موظف بدلاً من الحوادث العرضية. قد تختلف خطورة تأثيرات هذه الحوادث، مما يزيد من ضرورة توفر تحليل تأثير الأعمال مسبقاً.
نطاق تحليل تأثير الأعمال
تحاول العديد من المؤسسات أن تجعل تحليل تأثير الأعمال أكثر قابلية للإدارة من خلال تقسيمه إلى أجزاء أصغر بحجم وحدة الأعمال، حيث يقوم قادة الأقسام المختلفة بإجراء تحليل تأثير الأعمال في صوامع منعزلة. ومع ذلك، يمكن أن يكون هذا خطأً كبيراً يعرّض استمرارية الأعمال بأكملها للخطر.
لفهم متطلبات الاسترداد بشكل حقيقي، يجب على المرء مقارنة الوظائف وإجراءات الاسترداد لتلك الوظائف على مستوى الأعمال بأكملها. على سبيل المثال، لا يساعد إجراء تقييم الأثر البيولوجي للتسويق ثم إجراء تقييم منفصل للعمليات. ومع ذلك، يمكن توسيع نطاق تقييم تقييم الأثر البيولوجي تدريجياً من قسم إلى آخر طالما أنك تقرر مسبقاً كيفية مقارنة أولويات الاسترداد التي تنبثق من الأقسام عبر نطاق الشركة بأكملها.
يحدد تقييم الأثر البيئي الأنظمة والمكونات الأساسية لنجاح الشركة أو العلامة التجارية. كما يحدد أيضاً الحدود القصوى لوقت التعطل الأقصى لهذه الأنظمة والمكونات، والسيناريوهات المختلفة التي يمكن أن تؤثر على هذه الأنظمة والمكونات والخسائر المحتملة من أي حادث. هذه كلها أدوات ضرورية يجب دراستها وفهمها من قبل أولئك الذين يجرون هذه التقييمات.
فيما يلي بعض المجالات المهمة الأخرى التي يجب مراعاتها:.
نقطة فشل واحدة
تعتمد العديد من أنظمة تكنولوجيا المعلومات على بعضها البعض. في العديد من الحالات، إذا فشل جزء واحد منها، فمن المحتمل جداً أن يفشل النظام الفرعي بأكمله أو حتى النظام بأكمله. لذلك، من المهم أن ندرك ونفهم، عند تنفيذ النظام، أنه يجب وضع التدابير المضادة المناسبة للتأكد من وجود النسخ الاحتياطية المناسبة للتأكد من أن نظام تكنولوجيا المعلومات لا يزال يعمل حتى لو فشلت نقطة واحدة في الجزء (مثل الشبكة الفرعية للشبكة).
الملكية والتمويل
الملكية والتمويل مترابطان لأن الملكية لها قيمة مالية. في هذه الحالة، هناك نوعان من الممتلكات:
الملكية المادية هي الأراضي والمباني والأصول المادية الأخرى التي تمتلكها الشركة أو المؤسسة لأداء الوظائف اليومية العادية.
أما الملكية الفكرية فتشمل العلامات التجارية وبراءات الاختراع وغيرها من الأفكار أو الاختراعات التي تمتلكها المؤسسة أو تحوزها.
وكلا النوعين من الممتلكات المذكورة أعلاه له قيمة مالية، وحتى مفهوم التمويل يشمل التدفق النقدي للشركة والنتائج النهائية. في كلتا الحالتين، يجب أن تؤخذ في الاعتبار أي تأثيرات ناتجة عن هجوم إلكتروني، حيث أن هذه هي بعض الأهداف الرئيسية للمهاجم الإلكتروني.
تاكواي تقييمات تأثير الأعمال
يعد إجراء تحليل شامل لتأثير الأعمال أمرًا ضروريًا للمؤسسات التي تسعى إلى التغلب على تعقيدات المخاطر التشغيلية والحفاظ على الاستمرارية في مواجهة الاضطرابات المحتملة. وتعد هذه المهارة ذات قيمة لمجموعة متنوعة من المتخصصين في مجال تكنولوجيا المعلومات والأمن السيبراني والمخاطر، ولهذا السبب يتم تغطيتها في اختبار + Security+.
من خلال فهم العمليات الحرجة وتحديد أهداف التعافي وتحديد أوجه الترابط، يمكن للشركات الاستعداد بشكل استراتيجي لمواجهة التحديات، مما يضمن المرونة والنجاح على المدى الطويل.
لمعرفة المزيد عن شهادة + Security+، يمكنك الاطلاع على مركز شهادة + Security+.