مرونة تكنولوجيا المعلومات وكيفية تحقيق ذلك

جالب الأخبار7 سبتمبر,2023

13 3 دقائق

هذه أوقات محفوفة بالمخاطر. ومع ذلك، وعلى الرغم من التحديات المتزايدة، فمن المتوقع أن يحافظ قادة تكنولوجيا المعلومات على عمل الأنظمة الحيوية بشكل موثوق وفعال وآمن بغض النظر عن التحديات التي تفرضها التهديدات الاقتصادية والبيئية والمجتمعية والسياسية وغيرها. إن الالتزام القوي بالمرونة هو الطريقة الوحيدة المضمونة للتأكد من أن مؤسسة تكنولوجيا المعلومات قد بذلت كل ما في وسعها للاستعداد للأسوأ.

في عصر أصبحت فيه الجرائم الإلكترونية متطورة بشكل متزايد، وتحول العمليات التجارية بسرعة، أصبحت مرونة تكنولوجيا المعلومات أكثر أهمية من أي وقت مضى، كما يلاحظ رام باراسورمان، المدير التنفيذي لمرونة البيانات في شركة IBM. ويشير إلى أن الاستعداد ضد الهجمات الإلكترونية وتحسين الشفافية في الاستجابة للحوادث أصبح أولوية على مستوى مجلس إدارة الشركة. “من خلال الاستعداد لاستعادة البيانات في حالة وقوع هجوم أو انقطاع الشبكة، يمكن للمؤسسات التخفيف من المخاطر بشكل استباقي وضمان استمرارية الأعمال.”

يقول بريت تاكر، عضو هيئة التدريس المساعد في كلية هاينز لنظم المعلومات والسياسة العامة بجامعة كارنيجي ميلون، إن النهج الموحد والمتسق لإدارة المخاطر يمكّن المؤسسات من تحديد المخاطر وتحليلها بأقل قدر ممكن من التحيز. “الهدف من أي برنامج لإدارة المخاطر هو تحديد أولويات المخاطر وخطط الاستجابة المرتبطة بها بطريقة تعمل على تحسين استخدام الموارد المحدودة.”

ويعني التقييس أيضًا أن كل جزء من المنظمة يجب أن يتبع نفس خطوات التحليل. يقول تاكر: “علاوة على ذلك، يجب على المتخصصين في إدارة المخاطر في المنظمة أن يكونوا متسقين في علاجهم، بحيث لا يطغى أحد المخاطر على المخاطر الأخرى دون وجود أدلة ومؤهلات وقياسات كافية”.

الوصول إلى الصمود

تكافح الشركات حاليًا للتعامل مع التأثير المالي المتزايد لانقطاع الأعمال الناتج عن برامج الفدية وغيرها من الهجمات الإلكترونية المتقدمة وخروقات البيانات. يشير باراسورمان إلى أ أحدث تقرير أمني لشركة IBMوالتي كشفت أن متوسط التكلفة الحالية لاختراق البيانات وصلت إلى أعلى مستوى لها على الإطلاق في عام 2023 بقيمة 4.45 مليون دولار؛ مع توقعات بأن تتسبب الهجمات الإلكترونية في أضرار تصل إلى 10.5 تريليون دولار سنويًا بحلول عام 2025.

ينبغي أن تكون الخطوة الأولى في بناء خطة المرونة السيبرانية هي تحديد المسؤولية. يقول بن سين، المستشار الرئيسي في شركة الأبحاث والاستشارات التكنولوجية ISG: “بمجرد تحديد مسؤولية البرنامج وتمويله، وإبلاغ السلطة، يمكن لقادة البرنامج البدء في العمل”. ويوصي بالبدء بتحديد الأصول المهمة ووظائف الأعمال وتحديد أولوياتها.

يقول باراسورمان إن خطة المرونة المثالية يجب أن تكون متعددة الطبقات وتتضمن نشر بنية تحتية تدعم متطلبات مرونة البيانات على مستوى الأجهزة والبرمجيات. “تقع أنظمة تخزين البيانات في قلب الجهود المبذولة لبناء بيئات تكنولوجيا المعلومات التي تتمتع بالمرونة في مواجهة تلف البيانات المنطقية بجميع أشكاله.” يجب أن تتضمن إجراءات الحماية تقنيات مصممة لتجنب التوقف عن العمل، وضمان الوصول إلى التطبيقات المهمة، والبرامج الوسيطة، والبيانات، والحفاظ على إنتاجية المستخدم.

يقول ساين إن خطة المرونة يجب أن تكون في الواقع مجموعة من الخطط، بما في ذلك الأمن السيبراني، والاستجابة للحوادث، والتعافي من الكوارث، واستمرارية الأعمال – وكلها تعمل معًا لضمان استعداد المؤسسة للاستجابة لأكبر التهديدات. يجب أن تتضمن الخطة التهديدات التي، في حالة نجاحها، ستتسبب في أكبر قدر من الضرر، بما في ذلك خسارة الإيرادات و/أو العملاء الغاضبين و/أو السمعة المتضررة. ويضيف: “يجب أن تتضمن الخطة النهائية خطوات محددة للتفعيل والتنفيذ والإغلاق، إلى جانب هياكل سلطة محددة بوضوح”.

ويجب أن توفر خطة المرونة أيضًا الأساس لنهج منهجي ومفصل لتحديد المخاطر وتحليلها. “على سبيل المثال، قد تقوم المنظمات بتطبيق خرائط تدفق القيمة على النحو المقترح في اوكتاف فورتييقول تاكر. “يعمل رسم خرائط تدفق القيمة على تحليل الأهداف الإستراتيجية التنظيمية إلى خدمات حيوية مدعومة بأصول عالية القيمة.” تتضمن هذه الأصول عادةً الأشخاص والتقنيات والمعلومات والمرافق ومقدمي الطرف الثالث اللازمين لتنسيق تقديم الخدمات.

بمجرد تقسيم الخدمة إلى أصولها الحيوية، قد يستكشف المحلل أوضاع فشل محددة ونقاط ضعف وتأثيرات وتهديدات. ويقول تاكر إنه يمكن بعد ذلك دمج كل هذه العناصر في سجل واحد للمخاطر. ويحذر من أن “هذا النهج الصارم قد يؤدي أيضًا إلى الكشف عن الاعتماد المتبادل للمخاطر”. “يمكن للمخاطر المترابطة مشاركة خطط الاستجابة، لذلك يمكن للمؤسسات معالجة مخاطر متعددة بخطة استجابة واحدة فقط.” على أية حال، ينبغي أن تتضمن خطة المرونة مناقشات تتعلق بحوكمة المرونة التنظيمية، وقبول المخاطر، والسياسات والإجراءات، كما ينصح تاكر.

تتدخل

يقترح تاكر أنه يجب على المتخصصين في إدارة المخاطر والتقنيين وموظفي العمليات الأمنية والمتخصصين الماليين والاتصالات والتعافي من الكوارث ومهندسي الأمن السيبراني المشاركة في مناقشة تخطيط المرونة.

يوصي باراسورمان بتأمين الالتزامات من القادة في جميع أنحاء المؤسسة، بدءًا من فرق تكنولوجيا المعلومات وهندسة المنتجات وصولاً إلى كبار المديرين التنفيذيين. وفي الوقت نفسه، ندرك أن فرق الأمن جزء لا يتجزأ من مراقبة التهديدات وإحباط المهاجمين وبناء خطط الاستجابة للحوادث والحفاظ عليها. ويوصي قائلاً: “يجب أيضًا إشراك مسؤولي التخزين للتأكد من وجود أنظمة النسخ الاحتياطي عبر مجموعة تكنولوجيا المعلومات بأكملها، بدءًا من الأنظمة المحلية وحتى البيانات والتطبيقات التي تعمل في بيئات سحابية مختلفة”.