ضرورت استقرار سیستم مدیریت تداوم کسب و کار در نظام بانکی
  • نویسنده: احمد فرجی
  • تاریخ انتشار: سه‌شنبه ، ۰۳ تیر ماه ۹۹
  • تعداد بازدید: 2714
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

مقدمه

حيات آدمی، عرصه تاخت‌وتاز انواع حوادث و بلايايی است کـه گـاه ريـشه در طبيعت دارد و زمانی، محصول عملکرد خود اوست. وقوع بلايايي همچون زلزلـه، طوفـان، سيل، آتش‌فشان، خشک‌سالی، سونامي و يا حوادث ديگري همچون قطـع بـرق، حمـلات سايبري، شيوع بیماری‌های واگيردار، جنگ و...؛ مواردي هستند که تقريبـاً همه‌روزه و در نقاط مختلف جهان اتفاق می‌افتند و گرفتاری‌های متعددي را براي مردم و سازمان‌ها رقم می‌زنند.
در اين ميان، برخي از اين حوادث به لحاظ ميزان اثرگذاري بر زندگي مـردم و سازمان‌ها ـ چه در سطح فردي و چه در سطح جمعي ـ از چنان شدتي برخوردارنـد کـه زدودن آثار و تبعات منفي و مخرب آن‌ها، گاه هیچ‌وقت ممکن نشده و يا سال‌های سال، به درازا می‌انجامد. وقوع حوادثي همچون زلزلـه در منطقـه ورزقـان (اسـتان آذربايجـان شرقي)، طوفان سندي در آمريکا، گسترش ویروس‌های کامپيوتري استاکس نت و فلـيم در شبکه‌های رایانه‌های برخي کشورها، انفجار نيروگاه هسته‌ای فوکوشيما در ژاپن کـه طي ماه‌ها يا سال‌های اخير به وقوع پیوسته‌اند و يا وقوع زلزله در بوئین‌زهرا، طـبس، رودبار، اردبيل، بم و انفجار نيروگاه هسته‌ای چرنوبيل، سونامي اندونزي و يا شيوع بيماري سارس در کشورهاي آسياي جنوب شرقي در سال‌های دورتر و همچنین شیوع بیماری کرونا که هم‌اکنون تمامی کشورهای جهان به‌نوعی درگیر آن هستند.
متأسفانه، کشور ايران ازجمله کشورهايي است کـه حـوادث و بلايـاي طبيعـي فراواني در آن اتفاق می‌افتد. تعداد و تنوع حوادث و بلاياي طبیعی‌ای که در ايران اتفـاق می‌افتد در حدی است که بر اساس برخي گزارش‌ها، از ميـان ٤٠ نـوع بلايـاي طبيعـي شناخته‌شده در جهان، امکان وقـوع ٣٠ نـوع آن‌ها (٧٥ درصـد) در ايـران وجـود دارد.
به‌طورمعمول، اتخاذ تدابير لازم براي پيشگيري از حوادث و بازيـابي امـور؛ در قالب تشکيلات، برنامه‌ها و فرآیندهای شکل می‌گیرد که هـدف نهـايي آن‌ها؛ کـاهش ميزان آسیب‌پذیری، افـزايش سـطح زنـدگي مـردم و ارتقـاي عملکـرد سازمان‌ها و سامانه‌ها ـ در حداقل زمان ممکن و با حداکثر اثربخشي و کارایی ـ است. براي حوادث طبيعي و غیرطبیعی که ممکن است جريان معمول و مستمر امور را مختـل نماينـد، بايـد تدابير مناسبي را ـ متناسب با تعـداد و تنـاوب وقـوع حـوادث و ميـزان اثرگذاری و شدت (Severity)آن‌ها ـ اتخاذ نمود.
در اين راستا، هر سازمان براي مواجهه با انواع حـوادث طبيعـي و غیرطبیعی و شـيوه بازيابي عمليات خود پس از وقـوع آن‌ها، بايـد تـدابير و راهکارهای لازم را برگزيـده، اثربخشي و کارایی آن‌ها را به‌طور مرتب و منظم، مورد ارزیابی قرار داده و در مقـاطع موردنیاز آن‌ها را به‌روز نمايد.
مراجع نظارت مالي، بانک‌ها، مؤسسات اعتبـاري و ديگـر مؤسسات فعـال در بازارهاي مالي نيز وظیفه‌دارند تا به‌منظور استمرار عمليـات جـاري خـود در زمـان وقـوع رويدادي که بر عمليـات آن‌ها اثرگـذار اسـت و بازيـابي آن در حـداقل زمـان ممکـن، برنامه‌های جامعي را تهيه و به مورد اجرا گذارند و اثربخشی و کارایی آن‌ها را در مقاطع زماني مختلف و در قالب آزمون‌ها و مانورهاي عملياتي، مورد ارزيابي قرار دهند، موضوعي که از آن با عنوان «سیستم مدیریت تداوم کسب­ و­ کار, BCMS»یاد می شود.
هدف از BCMS اطمینان از در دسترس بودن بی­وقفه همه منابع کلیدي موردنیاز براي پشتیبانی از فعالیت‌های کسب‌وکار در زمان رخداد اختلال و نیز تسریع در بازگشت به حالت عادي است. BCMS با دیدي جامع بر مفهوم تداوم فرآیندهاي کلیدي اعم از دستی یا مبتنی بر فناوري اطلاعات تمرکز دارد.
مقاله مذکور، اگرچه به‌طور خاص براي بازارهاي مالي و نهادهاي فعـال در آن ازجمله بانک‌ها و مؤسسات اعتباري، مراجع نظارت مـالي و... تدوین‌شده است، ليکن اصول مطروحـه در آن را می‌توان با تغييرات مقتضي، براي نهادها و سازمان‌های ديگر نيز به کار گرفت.
موارد مطروحه در این مقاله نشان می‌دهد که برخلاف تصور بسياري از افراد، وقوع حوادثي که رجوع به برنامه‌های تداوم کسب‌وکار يا استفاده از پایگاه‌های جايگزين را ضروري می‌سازد، الزامـاً در مـواردی همچـون زلزلـه خلاصـه نمی‌شود، بلکـه گـاه شـيوع يـک بيمـاري ــ بـدون آن‌که کوچک‌ترین آسـيبي بـه زیرساخت‌های فيزيکي وارد کند ـ می‌تواند با ايجاد موانعي در دسترسـي سازمان‌ها به کارکنان خود، عمليات جاري آن‌ها را مختل نمايد. به‌عنوان‌مثال، شیوع بیماری کرونا در حال حاضر و يـا وقـوع رويدادهايي همچون آلودگي هوا و گسترش گردوغبار در برخی استان­های کشور، ازجمله رويدادهايي بودند که عمليات جاري سازمان‌ها به‌ویژه بسیاری از بانک­ها را مختـل کـرده و يـا حتـي بـه تعطيلـي کشاندند، ليکن تأثیر چندانی بر زیرساخت‌های فيزيکی سازمان‌ها نداشتند.
جمع ­بندي و نتیجه­ گیري هدف محوريBCMS، حمایت از سازمان‌ها در تداوم ارائه خدمات و محصولات در زمان مقابله با اختلالات است. در این مقاله، ضمن معرفی این رویکرد و سیر تاریخی تکامل آن، بر مبناي یک تحقیق پیمایشی، شرایط حاکم بر نظام مالی، علی­ الخصوص نظام بانکی در ایران موردبررسی قرار گرفت.

 

مروري بر آمارهاي بین‌المللی تهديدات بالقوه و عدم وجود سیستم مدیریت تداوم کسب‌وکار
مطابق با پژوهش انجام ­شده در سال 2018 مهم‌ترین تهديدات متوجه سازمان‌ها عبارت‌اند از:
  • وقفه در سرویس‌های فناوري اطلاعات و ارتباطات (74%)
  • افشاي اطلاعات محرمانه (68%)
  • حملات سايبري (65%)
  • وقايع طبيعي مانند سيل و زلزله (59%)
همچنین سایر نکات قابل‌ذکر در این پژوهش به شرح زیر است:
  • بيش از 80% سازمان‌های فاقد طرح تداوم کسب‌وکار كه با يك بحران عظيم روبرو شده‌اند، کسب‌وکار خود را به‌طور كامل ازدست‌داده اند.
  • 90% سازمان‌های فاقد طرح تداوم کسب‌وکار كه داده‌های خود را در بحران‌ها ازدست‌داده اند، در دو سال بعد از بازار رقابتي حذف‌شده‌اند.
  • 82% سازمان‌هايي كه سيستم مديريت تداوم کسب‌وکار داشتند، توانسته‌اند اثرات بحران‌ها را به‌صورت جدي كاهش دهند و بحران‌ها بر روي درآمد 55% از اين سازمان‌ها تأثیری نداشته است.
     

    ضرورت پیاده‌سازی سیستم مدیریت تداوم کسب‌وکار در نظام بانکی کشور

     

     

    اجرای مدیریت تداوم کسب‌وکار برای هر سازمان جدا از برآورده کردن نیاز مشتریان و اجرای قوانین و مقررات، فواید دیگری نیز در بر دارد. در بازار رقابتی، استقرار مدیریت تداوم کسب‌وکار سازمان‌ها را قادر می‌سازد تا به مشتریان بالقوه خود اثبات کنند که برای تداوم محصولات و خدمات کلیدی خود در برابر اختلالات برنامه دارند. دریافت گواهینامه مطابق با استانداردهایی همچون ISO22301:2019 می‌تواند بخشی از بسته بازاریابی برای جذب مشتریان جدید و حفظ مشتریان موجود باشد.

    اجرای مدیریت تداوم کسب‌وکار ضعف‌های درون سازمان را از بین می‌برد و دوباره‌کاری و اتلاف در منابع و زمان را حذف می‌کند (فواید مالی). هر خرابی که رخ می‌دهد برای سازمان یک هزینه به همراه دارد، حتی اگر به اختلال منجر نشود. با حذف این ضعف‌ها سازمان قوی‌تر شده و هزینه‌هایش کمتر می‌شود. يکي از بزرگ‌ترین تهدیدهایی که در حین اختلال برای سازمان به وجود می‌آید اختلال در جریان نقدینگی است. با توانا ساختن سازمان در تداوم ارسال محصولات و خدمات کلیدی، به حفظ جریان نقدینگی کمک می‌شود. برای بسیاری از سازمان‌ها قطع جریان نقدینگی یک مسئله بحرانی است، به‌ویژه زمانی که آن‌ها به توانایی خود در حفظ عملیات به‌منظور پرداخت بدهی‌های خود وابسته هستند. این مسئله برای شرکت‌های کوچک و متوسط و سازمان‌هایی که با اعتبارات بانک‌ها تأسیس‌شده‌اند بیش از سایرین حیاتی است. امروزه داشتن یک برنامه کاربردی و اثربخش سیستم مدیریت تداوم کسب‌وکار (BCMS)، نقش بسیار مهمی در استمرار و موفقیت کسب‌وکار هر سازمانی ایفا می‌کند. توانایی یک سازمان برای حفظ و تداوم فعالیت‌های کلیدی و حیاتی خود، پس از وقوع یک حادثه و همچنین سرعت بازیابی سازمان و بازگشت به حالت نرمال، می‌توانند عوامل اصلی موفقیت یا شکست یک سازمان را تعیین نمایند. لذا استقرار یک سیستم مناسب بر پایه مدیریت تداوم کسب‌وکار (BCM) مبتنی بر استاندارد ISO 22301-2019 می‌تواند پاسخگوی نیاز سازمان‌ها در این حوزه باشد.

    تحوّل در نحوه ارائه خدمات بانکی با اجرای طرح جامع اتوماسیون بانکی در اواخر دهه 1360 شمسی آغاز گردید. در ادامه و با نصب اولین ATM در ایران در سال 1371 و همچنین راه‌اندازی شبکه تبادل اطلاعات بین‌بانکی (شتاب) از سال 1381 به اوج خود رسید. در اردیبهشت 1390 نیز با تصویب آیین‌نامه تأسیس و فعالیت بانک‌های مجازی توسط شورای پول و اعتبار بانک مرکزی، تحولات این حوزه، وارد عرصه کاملاً جدیدی گردید.

    اما در طول این تحولات، موضوعاتی چون لزوم توجه به تکنولوژی و توسعه فرآیندها و تقویت بنیه علمی و عملی کارشناسان و مدیران IT بانک‌ها به‌منظور ارائه خدمات شبانه‌روزی 7*24  و همچنین، التزام عملی به توافق‌نامه سطح خدمات یا SLA  بانکی، کماکان در ابتدای راه خود هستند.

    گسترش و توسعه فناوری اطلاعات در حوزه‌ها و صنایع مختلف، علی‌الخصوص در حوزه ارائه خدمات بانکداری، موجب افزایش اهمیت آشنایی متخصصین صنعت مذکور با مفاهیم و ابزارهای جدیدی گردیده است. عبارات و اصطلاحاتی مانند ITIL,ISMS، SLA، Service Catalogue و … که این روزها در اکثر سمینارها، همایش‌ها، جلسات و هم‌اندیشی‌های حوزه بانکداری کشور شنیده می‌شوند، نشانه‌هایی از ظهور تحول در ارائه خدمات مبتنی بر فناوری اطلاعات به مشتریان بانک‌ها و مؤسسات پولی و مالی است.

    در کنار موارد بالا، سیستم مدیریت تداوم کسب‌وکار (BCMS) در شرایط بحرانی مانند تحریم‌های بین‌المللی و همچنین رخدادهای بسیاری که در طول سالیان اخیر مشکلاتی بزرگی را در صنعت مالی کشور به وجود آورده است؛ لزوم توجه جدی به سیستم تداوم کسب‌وکار بانکی را نشان می‌دهد. داشتن یک برنامه کاربردی و اثربخش مدیریت تداوم کسب‌وکار (BCP)، نقش بسیار مهمی در استمرار و موفقیت کسب‌وکارهای بانکی ایفا می‌کند. توانایی یک بانک برای حفظ و تداوم فعالیت‌های کلیدی و حیاتی خود، پس از وقوع یک حادثه و یا مشکل و همچنین سرعت بازیابی خدمات بانکی و بازگشت به حالت نرمال، می‌توانند ازجمله عوامل اصلی موفقیت یا شکست یک بانک را در عرصه پررقابت کنونی تعیین نمایند.

     

    هدف از BCMS  در مجموعه‌های بانکی آماده کردن، فراهم کردن و حفظ کنترل‌ها و توانایی‌ها برای مدیریت توانایی کلی سازمان در ادامه فعالیت در طی اختلالات است. مزیت‌های دستیابی به این هدف، عبارت‌اند از:

     الف) از دیدگاه تجاری:

    • حمایت از اهداف استراتژیک بانک
    • ایجاد مزیت رقابتی
    • محافظت و تقویت شهرت و اعتبار بانک
    • نقش در انعطاف‌پذیری سازمانی

      ب) از دیدگاه مالی:

    • کاهش در معرض قرار گرفتن جرائم قانونی و مالی ناشی از وقفه یا اختلال کسب‌وکار
    • کاهش هزینه‌های مستقیم و غیرمستقیم اختلالات
    • حداقل سازی نرخ از دست دادن مشتریان ناشی از وقفه یا اختلال در کسب‌وکار

    ج) از دیدگاه طرف‌های ذینفع:

    • توجه به انتظارات ذینفعان در حوزه تداوم کسب‌وکار
    • اطمینان به توانایی بانک برای ارائه سرویس های موردنیاز مشتریان
    • محافظت از زندگی، دارایی و محیط‌زیست

     د) از دیدگاه فرآیندهای داخلی:

    • بهبود توانایی آن برای مؤثر ماندن در هنگام وقفه
    • نشان دادن کنترل پیشگیرانه خطرات به‌طور مؤثر و کارآمد؛
    • پرداختن به آسیب‌پذیری‌های عملیاتی

     لذا استقرار یک سیستم مناسب بر پایه مدیریت تداوم کسب‌وکار بانکی، نه‌تنها لازم بلکه امروزه برای بانک‌های کشورمان الزامی است.

     

    پیاده‌سازی الزامات سیستم مدیریت تداوم کسب‌وکار در مجموعه ­های بانکی

    در این بخش، به این موضوع خواهیم پرداخت که هر یک از فازهای استقرار سیستم مدیریت تداوم کسب‌وکار چه ملاحظاتی را باید در مجموعه‌های بانکی رعایت نمود.

    شناسایی ذی­نفعان در مدیریت تداوم کسب‌وکار در مجموعه­ های بانکی

    در این خصوص ضروری است ابتدا ذی­نفعان تداوم کسب‌وکار در مجموعه های بانکی شناسایی و سپس نیازمندی‌ها و انتظارات آن‌ها در حوزه مدیریت تداوم کسب‌وکار به‌درستی شناسایی شود. ذی­نفعان مجموعه‌های بانکی در دو دسته ذی­نفعان داخلی وذی­نفعان خارجی قرار می­گیرند.

    ذی­نفعان داخلی بانک شامل معاونت‌ها، ادارات و واحدهای سازمانی و... است که باید نیازمندی های آن ها در حوزه تداوم کسب‌وکار و سرویس ها و فرآیندهای حیاتی آنها که همواره در دسترس هستند، باید به درستی شناسایی شود. شناسایی دقیق فرآیندهای بانکی در این حوزه ضروری است.

    ذی­نفعان خارجی بانک شامل مشتریان، بانک مرکزی، شرکت‌های ارائه‌دهنده درگاه‌های پرداخت و... است که در خصوص هر یک از مجموعه های بانکی باید نیازمندی های آن ها به درستی شناسایی شود.

    شناسایی نیازمندی‌های ذی­نفعان

    • عموم مشتریان بانک
      • در دسترس بودن تمامی درگاه­های اینترنتی و سرویس‌های الکترونیکی بانک‌ نظیر اینترنت بانک، تلفن بانک، همراه بانک و ... به‌صورت 24*7
      • فراهم بودن دسترسی به شعب برای سرویس­های حضوری
      • امکان اتصال و ارائه خدمات از طریق شبکه شتاب
      • کفایت و سهولت استفاده از دستگاه های خودپرداز بانک در نقاط مختلف جغرافیایی در کشور
      • كيفيت خدمات، تسهيلات ارزان و به­ موقع و نقدينگي، سرمايه­ گذاري با بازدهي مطلوب؛
      • و ...
    • بانک مرکزی جمهوری اسلامی
      • تبعيت و اجراي قوانين و سياست­هاي پولي و مالي تصويب­ شده به ­وسيله بانك مركزي در حوزه بالا بودن سرویس ها و تداوم کسب‌وکار؛
      • فراهم بودن سوییچ‌ بانکی به‌صورت 24*7 با سطح SLA مورد انتظار بانک مرکزی
      • رعایت اصول سیکل­های تسویه بانک مطابق با الزامات بالادستی
      • دستورالعمل نحوه تعیین سطح فعالیت مورد انتظار مشتری
      • و ...
    • شرکت پرداخت الکترونیک شاپرک
      • همکاری با شرکت­های PSP در برآورده سازی الزامات شاپرک
      • فراهم بودن تمامی خدمات مربوط به پرداخت و ارائه تمامی خدمات الکترونیکی در درگاه­ها بانکی
      • و...
    • شرکت­های تابعه
      • در دسترس بودن خدمات مربوط به این شرکت‌ها به‌صورت 24*7
      • تعیین کانال­های ارتباطی اصلی و جایگزین با شرکت­های تابعه و وجود افزونگی
      • فراهم بودن نقدینگی از طرف بانک به‌منظور فعالیت این شرکت‌ها
      • و...

     

     تعیین محدوده در سیستم مدیریت تداوم کسب‌وکار

    هدف از تعین محدوده در سیستم مدیریت تداوم کسب‌وکار، انتخاب محدوده مناسب برای ارائه خدمات با ظرفیت قابل‌قبول در زمان اختلال است. در این خصوص موضوع کلیدی، انتخاب محدوده­ای است که اثربخشی لازم برای استقرار سیستم مدیریت تداوم کسب‌وکار را داشته باشد و فرآیندهای کلیدی مجموعه ­های بانک را شامل شود.

    بانک­ها به منظور تعیین محدوده باید محدوده را از ابعاد فرآیندی، فیزیکی، تکنولوژیکی و پرسنلی به صورت شفاف مشخص نمایند.

    در خصوص محدوده فرآیندی دغدغه اول این است که محدوده شامل تمامی فرآیندهای تمامی واحدهای سازمانی بانک باشد و یا تنها فرآیندهای فناوری اطلاعات. پاسخ به این سؤال متأثر از هدف ما از استقرار BCMS است. اگر سازمان به دنبال تداوم تمام فعالیت‌های بانک است، محدوده باید شامل تمامی فرآیندهای بانک باشد و یا حداقل واحدهای سازمانی که در شناسایی ذی­نفعان، دغدغه بیشتری در حوزه تداوم کسب‌وکار دارند، حتماً در محدوده باشند.

    اما اگر نگاه به تداوم کسب‌وکار، نگاه به تداوم سرویس­ها و درگاه­های مجازی بانک باشد، انتخاب بستر فناوری اطلاعات به محدوده کفایت می کند.

    گام بعدی در محدوده، محدوده فیزیکی استقرار BCMS است. در خصوص محدوده فیزیکی، ساختمان­ های ستادی اصلی بانک به دلیل آنکه بخش عمده ای از فرآیندهای غیر شعبه ای در آن انجام می شود، حتماً باید در محدوده قرار گیرد.

    موضوع دوم انتخاب شعب پایلوت برای استقرار BCMS است. برای اینکه استقرار سیستم، تمامی ابعاد مد نظر بانک را در برگیرد، ضروری است شعب پایلوت، به گونه ای انتخاب شوند که دسته بندی مناسب صورت پذیرفته و هر دسته شعبه یک نمونه حتماً در محدوده استقرار سیستم قرار گیرد. به عنوان نمونه تعیین محدوده می تواند از ابعاد زیر صورت پذیرد:

    • از منظر ساختمانی و عمرانی
      • شعب نوساز
      • شعب قدیمی‌ساز
      • شعب بازسازی‌شده
    • از منظر ارتباط فناوری اطلاعات
      • شعب با حداقل سه لینک ارتباطی متفاوت
      • شعب با دو لینک ارتباطی متفاوت
      • شعب دارای یک ارتباط
    • تقسیم‌بندی مبتنی بر توزیع استانی
      • شعب با فاصله حداقل x کیلومتر از نزدیک ترین شعبه
      • شعب تک شعبه در یک شهر یا یک استان
      • و ...

     

    ارزیابی ریسک تداوم کسب‌وکار در مجموعه ­های بانکی

    یکی از الزامات همه سیستم­های مدیریتی، ارزیابی ریسک است. هدف از ارزیابی ریسک، ارائه مدلی جهت شناسایی، ارزش­گذاری، تعیین معیار پذیرش و تدوین برنامه مقابله با ریسک است. در سیستم مدیریت تداوم کسب‌وکار نیز، ارزیابی ریسک­ها و فرصت­ها به عنوان یک الزام اصلی است.

    نظام بانکی کشور به‌مانند سایر سازمان‌ها در معرض بسیاری از ریسک‌ها، اعم از سایبری یا طبیعی قرار دارد و به‌منظور پاسخگویی به این ریسک‌ها باید یک سیستم مدیریت ریسک کارا در بانک پیاده‌سازی شود.

    مدیریت تداوم کسب‌وکار یکی از چارچوب‌های جدید مدیریت ریسک است که سازمان‌ها در جهت بهبود قابلیت انعطاف ­به‌منظور مقابله با ریسک­های شناسایی‌شده یاری می‌رساند. ارزیابی ریسک یکی از بخش‌های مهم سیستم مدیریت تداوم کسب‌وکار به شمار می‌رود.

    اهداف مدیریت ریسک تداوم کسب‌وکار در مجموعه­ های بانکی شامل موارد زیر است:

    1. بقا: حفظ هزینه‌ها در حدی معین که هزینه کرد بالاتر از آن می‌تواند ادامه بقای بانک را مورد تهدید قرار دهد.
    2. عدم توقف عملیات: تداوم فعالیت‌های کاری عادی با حداقل تأخیر؛ به دنبال یک خسارت فعالیت‌های عادی بانک باید در معرض حداقل توقف باشد.
    3. رشد مداوم، تداوم رشد بانک؛ رشد مداوم ممکن است مستلزم تخصیص منابع قبل از وقوع هر خسارتی باشد.
    4. ثبات درآمدها: محدود نمودن کاهش‌های کاهش جریانات درآمدی و ایجاد نقدینگی برای بانک ناشی از خسارت به یک سطح قابل‌قبول.
    5. مسئولیت اجتماعی؛ محدود نمودن خسارات به کارکنان؛ عرضه‌کنندگان؛ مشتریان و اعضای جامعه ناشی از رخدادهای اجتماعی و طبیعی.

    در این قسمت، باهدف ایجاد مکانیسمی مشخص برای مدیریت ریسک امنیت اطلاعات، به شرح چگونگی انجام این فرآیند از مرحله شناسایی آسیب‌پذیری‌ها تا تهیه برنامه مقابله با ریسک و محاسبه ریسک ثانویه پرداخته می‌شود.

    موضوعاتی که در بحث ارزیابی ریسک در بانک باید به صورت ویژه مد نظر قرار گیرد و متناسب با شرایط بانک تدوین گردد شامل موارد زیر است:

    • انتخاب متدولوژی ارزیابی ریسک متناسب با بانک
    • شناسایی آسیب‌پذیری‌ها و تهدیدات ویژه فرآیندهای بانکی
    • تحلیل و ارزیابی احتمال و شدت وقوع تهدیدات
    • رفع نقاط ضعف و ریسک کسب‌وکار

     

    تحلیل اثر بر کسب‌وکار (BIA) در حوزه بانکی

    تجزیه‌وتحلیل تأثیر کسب‌وکار (BIA) یک فرآیند سیستماتیک است که برای تعیین و ارزیابی اثرات بالقوه به وجود آمدن وقفه در عملیات بحرانی، مثل وقوع یک حادثه، به وجود می آید. این روش را می‎توان در زمره‎ آنالیزهای کیفی فرآیندهای کسب‌وکار دسته‌بندی کرد.

    تجزیه‌وتحلیل تأثیر کسب‌وکار یک جزء اکتشافی برای تشخیص هرگونه آسیب‌پذیری بوده و یک جزء از استراتژی به حداقل رساندن خطر است. یکی از پیش‌فرض‌های اولیه BIA این است که هر مؤلفه‌ای از سیستم بانکی، وابسته به عملکرد مداوم همه مؤلفه‌های دیگر است، اما برخی از آن‌ها از دیگران مهم‌تر هستند و بعد از بروز یک حادثه نیاز به تخصیص منابع بیشتری خواهند داشت. به‌عنوان‌مثال، یک بانک ممکن است با قطعی تلفن‌بانک خود به همان حالت معمول به کار خود ادامه دهد؛ اما اگر سیستم بانکداری متمرکز بانک دچار مشکل شود، تمامی فرآیندهای بانک به‌طور کامل متوقف خواهد شد.

    تحلیل اثر بر کسب‌وکار به‌عنوان بخشی از یک برنامه بازیابی فاجعه، به شناسایی هزینه‎ های ناشی از خرابی خواهد پرداخت. از قبیل از دست دادن جریان نقدی، تعویض تجهیزات، از دست دادن سود، از دست دادن کارکنان و داده‌ها و غیره.

     در خصوص BIA می توان، آثار مالی را هم تا حد زیادی مشخص نمود. ارائه یک مدل کمی جهت تحلیل اثر بر کسب‌وکار، در مجموعه ­های بانکی بسیار ضروری است. ارزش هر دقیقه یا هر ساعت وقفه در فرآیندهای بانکی باید ارزیابی شده و متناسب با نوع وقفه و اختلالات ارزیابی شود.

    گزارش BIA اهمیت اجزای کسب‌وکار را اندازه‎ گیری نموده و تخصیص بودجه مناسب برای محافظت از آن‌ها را پیشنهاد می‎کند. احتمال خرابی‎ ها، ازلحاظ تأثیراتی که در زمینه‎ هایی نظیر ایمنی، مالی، بازاریابی، شهرت کسب‌وکار، تطابق قانونی و تضمین کیفیت می‎گذارند، ارزیابی می‎شود. به‌عنوان‌مثال، یک کسب‌وکار ممکن است پس از بروز یک فاجعه برای بازسازی اعتماد مشتری، به سه برابر بازاریابی بیشتر احتیاج داشته باشد.

     

     BIA در مقایسه با ارزیابی ریسک

    تحلیل اثر بر کسب‌وکار و ارزیابی ریسک دو مرحله مهم از یک طرح تداوم کسب‌وکار هستند. آنالیز BIA اغلب قبل از ارزیابی ریسک اتفاق می‎افتد. این فرآیند بر تأثیرات یا پیامدهای وقفه‌ای که برای عملکرد مهم کسب‌وکار اتفاق می‏افتد تمرکز می‎کند و می‎کوشد هزینه‎ های مالی و غیرمالی مربوط به یک حادثه را ارزیابی کند. تحلیل اثر بر کسب‌وکار می‎تواند به‌عنوان یک نقطه شروع برای طراحی یک استراتژی جهت بازیابی فاجعه و بررسی اهداف زمان بازیابی (RTOs) و منابع و مواد موردنیاز برای ادامه کسب‌وکار، بکار رود.

    در حوزه بانکی، سؤال این است که تحلیل اثر بر کسب‌وکار مقدم است یا ارزیابی ریسک. واقعیت این است که ورودی های ارزیابی ریسک می تواند در تحلیل اثر بر کسب‌وکار مؤثر باشد. در واقع ابتدا باید شناسایی نمود که چه تهدیداتی وجود دارد که ممکن است منجر به وقفه کسب‌وکار شود و در ادامه باید اثر آن را بر کسب‌وکار ارزیابی نمود.

    ارزیابی ریسک، خطرات بالقوه مانند قطعی سوییچ، تهدیدات محیطی و یا حمله سایبری را شناسایی و مناطق آسیب‌پذیر را ارزیابی می‎کند. دارایی‎ هایی که در معرض خطر هستند عبارت‌اند از مردم، اموال، زنجیره تأمین بانک، فناوری اطلاعات، شهرت تجاری و تعهدات قراردادی، در ارزیابی ریسک نقاط ضعفی که دارایی‎ ها را بیشتر مستعد آسیب‌پذیری می‎کنند بررسی می‎شوند.

    در فاز ارزیابی ریسک، ممکن است یافته‎ های تجزیه‌وتحلیل تأثیر کسب‌وکار در برابر سناریوهای مختلف خطر مورد آزمایش قرار گیرند. یک BIA ممکن است برای توجیه سرمایه‌گذاری در پیشگیری و کاهش بروز حوادث و همچنین استراتژی‎های بازیابی فاجعه مورداستفاده قرار گیرد.

     

    مطالعه موردي: سیل سال 2007 در کشور اندونزی

     

     

    این مطالعه موردی بر مبنای گزارش "اصول پیشرفته برای تداوم فعالیت" از انتشارات کمیته نظارت بانکی بال مربوط به مدیریت کل مقررات، مجوزهای بانکی و مبارزه با پول‌شویی بانک مرکزی ارائه شده است.

    سیل جاکارتا

     در سال 2007 سیل بزرگی در جاکارتا، پایتخت اندونزی بود و چندین منطقه دیگر در اطراف شهر، مانند جاوا غربی و بانتن را تحت تأثیر قرارداد. این سیل که از 2 فوریه 2007 آغاز شد، ناشی از باران شدید، جنگل زدایی در مناطقی در جنوب شهر و آبراه های مسدود شده با آوار بود. این سیل بدترین وضعیت در سه قرن گذشته، ازجمله سیل‌های جاکارتا در سال 1996 و 2002 است که منجر به کشته شدن 80 نفر شد.

    قسمت مهم‌تر این واقعه تخریب زیرساخت­های حیاتی بانکی و مشکلات به وجود آمده در این زمینه است.

     عواقب و نتايج بحران‌ها

    • مركز داده اصلي بانك در اثر سيل و طوفان به‌طورجدی آسيب ديد
    • كليه تجهيزات داخل مركز داده از كار افتادند و قابليت سرویس‌دهی نداشتند.
    • ارتباطات، الكتريسيته و شبکه‌های ارتباطي قطع شدند.
    • ارتباطات تنها از طريق تلفن‌های ماهواره‌ای امکان‌پذیر بود.
    • تمامی داده‌های ذخیره‌شده در پايگاه داده بانك به‌طور كامل از بين رفتند.
    • و درنتیجه كل سرویس‌های بانكي از مدار خارج شدند.

    اقدامات مديريت بحران

    • تماس سريع با تیم‌های مدريت بحران
    • تشكيل دو تيم اصلي براي مديريت بحران
    • تيم اصلي: هماهنگي انتقال سرویس‌ها به سايت پشتيبان و مديريت بحران سايت اصلي براي بازگشت به وضعيت عادي
    • تيم دوم: راه‌اندازی سرویس‌ها در سايت پشتيبان و تأمین نيروي متخصص موردنیاز
    • هماهنگي براي انتقال ارتباطات شبکه‌ای به سايت پشتيبان (KBI)
    • راه‌اندازی سرورهاي پشتيبان مستقر در سايت پشتيبان
    • بازگرداني داده‌های ذخیره‌شده روي نسخه‌های پشتيبان

     

     

    تجربیات رخداد:

    برنامه­ هاي احتياطي بازار و تداوم فعاليت، اجراي رویه‌های احتيـاطي مناسـب براي مقابله با سیل جاکارتا را تسهيل می‌نمود. اگرچه برنامه­ هاي مـذکور، به‌طور مشخص به طرح سناريوهايي نمي ­پرداخت که در آن‌ها، براي تداوم عمليات يک حوزه خاص يا تماميت يک شاخه اصلي از فعاليت، فردي را اختـصاص داده باشد، ليکن برنامه ­هاي یادشده چارچوب سودمندي را براي تمرکز بـر مباحـث بی‌شماری که ناشي از شيوع و گسترش بيماري و یا تبعات وقوع سیل بود، فراهم مي­ آورد. به‌یقین، اين موضوع که کميسيون اوراق بهادار و معاملات آتي کشورها و ديگر سازمان‌های آن مناطق، داراي برنامه­ هايي براي تداوم کسب‌وکار و سـاختاري بـراي مـديريت اختلالات بودند، نقش مهمي در توانايي آن‌ها براي ارائه واکنش هر چه مؤثرتر به رويداد مذکور داشت.

    سازمان‌ها می‌توانند از تجارب سازمان‌های ديگر بهره برده و بر اساس آن‌ها، برنامه­ هاي تداوم کسب‌وکار خود را به‌روز نمايند. 

     

     جمع ­بندي و نتیجه ­گیري

    هدف محوري سیستم مدیریت تداوم کسب‌وکار (BCMS) در بانک، حمایت از بانک‌ها و ذی نفعان آن ها در تداوم ارائه خدمات و محصولات در زمان مقابله با اختلالات است. با توجه به حساسیت موضوع تداوم کسب‌وکار در مجموعه های بانکی، نگاه بانک ها به این موضوع حتماً باید نگاه استاندارد باشد.

    در این خصوص ضروری است، بانک ها ابتدا نیازمندی های ذی نفعان خود را شناسایی نموده و متناسب با آن محدوده مناسب برای استقرار سیستم را انتخاب نمایند. در ادامه باید گام های استقرار سیستم مطابق با الزامات و مطابق با شرایط نظام بانکی تعریف شده و پیگیری شود.

برچسب ها:
سیستم مدیریت تداوم کسب و کار تداوم کسب و کار ارزیابی ریسک تحلیل اثر بر کسب و کار حوادث بلایای طبیعی زلزله سیل کرونا سارس نظام بانکی بانک ذی نفعان بانک مرکزی BCMS BIA RTO Severity BCM iso iso22301 SLA ITIL ISMS Risk
نویسنده: احمد فرجی دسته بندی: سیستم مدیریت امنیت اطلاعات