همچنانکه میتوانید ببینید، نگاه کردن به هزینههای اولیه به تنهایی میتواند گمراهکننده باشد. محاسبهی هزینهی کلی مالکیت TCO میتواند پیچیده باشد، اما این تمرینی است که مزایای زیادی برای سازمانهایی که محاسبات را به درستی انجام میدهند در بر دارد. تنها از طریق فهم صحیح TCO میتوان راهحل صحیح را برای سازمان انتخاب کرد.
اگر شما مطالب ما را به طور منظم مطالعه کرده باشید، ممکن است حدس زده باشید که رویکردهای مربوط به عملیات امنیتی و پاسخگویی به رخدادها به شیوهی راهبردی، جامع و تحلیلی، چیزی است که ما با شور و شوق به آن علاقه داریم.
تکنــــــــــــــازدانلود : شاید تعجبآور نباشد که این موضوعی باشد که ما اغلب در مورد آن در سخنرانیها، بحثها و جلسات صحبت میکنم.
گاهی اوقات ما بازخوردهایی و سخنانی را نظیر اینها میشنویم:
ما فکر میکنیم که هشتاد درصد از راهحلها در اینجا خوب هستند.
ما وقت و منابع لازم برای ارزیابی راهبردی و بهبود برنامهی امنیتی خود را نداریم.
ما ارزانترین گزینهی ممکن را انتخاب میکنیم.
بسیاری از شما میدانید که ما با پسزمینهای از عملیاتهای امنیتی و پاسخ به رخدادها صحبت میکنیم. به همین دلیل ما درک میکنیم که ما در یک دنیای آرمانی زندگی نمیکنیم که همهی عملیاتها و به ویژه عملیاتهای امنیتی سختگیرانه باشند و بهبود آنها تقریباً هرگز آسان نیست. بنابراین میتوان گفت که ما هنوز هم معتقدیم که اتخاذ یک رویکرد راهبردی، جامع و تحلیلی، موضوعی است که میتواند به سازمانها به طور فوقالعادهای به ویژه در محیط عملیاتی کمک کند. از جایگاهی که ما نگاه میکنیم، هنوز کارهای زیادی تقریباً در همهی سازمانها میتواند انجام شود.
راه حل هشتاد درصدی
آیا راه حل هشتاد درصدی قابل قبول است؟
قبل از اینکه در این مورد صحبت کنیم، به مثالهای زیر توجه کنید که به شما
کمک میکند تا درک کنید راه حل هشتاد درصدی به چه معناست:
چهار ساعت و ۴۸ دقیقه خوردن آب آشامیدنی ناسالم در هر روز.
چهار ساعت و ۴۸ دقیقه سر کردن بدون برق در روز.
یکی از هر پنج خودرو در جاده بدون ترمز باشد.
یکی از هر پنج هواپیما بازرسی ایمنی معمول را رعایت نکند.
یکی از هر پنج نمونه از کار خوب نباشد.
ما میتوانیم ساعتها این مثالها را ادامه دهیم، اما اعتقاد داریم که شما
متوجه موضوع شدهاید. حتی شاید شما از طنز ما در این نوشتهها سپاسگذاری
کنید.
این مثالها برای نشان دادن این موضوع است که هر چند که ممکن است دشوار
باشد، هنگامی که به کاهش مخاطرات میرسیم ما باید بر راهحلهای صحیح تمرکز
کنیم. همواره محدودیت در منابع وجود دارد. اما اگر هدف ما برای رسیدن به
راه حل هشتاد درصدی باشد، شاید ما خیلی پایینتر از اینها قرار بگیریم.
اکنون اجازه دهید تا یک مثال را برای شما ذکر کنیم. اگر شما در بازار باشید
و بخواهید چیزی را که ۵ دلار قیمت دارد، به قیمت سه دلار بخرید، نباید
قیمت سه دلار را بدهید. شاید بهتر باشد که شما با پیشنهاد قیمت یک دلار
شروع کنید و سپس شروع به چانهزدن با فروشنده کنید.
امنیت نیز متفاوت از آن نیست. اگر ما خطری در پیش رو داشته باشیم که نیاز
به کاهش آن باشد، باید با شکستن آن به اهداف و اولویتهای دیگر که ما در
بخشهای قبلی توضیح دادهام شروع کنیم. ما باید هدف خود را برای یافتن
افراد، فرآیندها و فنآوریهای صحیح برای پوشش دادن همهی اهداف و
اولویتهای خود قرار دهیم تا بتوانیم به درستی خطر را کاهش دهیم. البته که
در این راه سازشها، چالشها و سرخوردگیهایی پیش خواهد آمد. اما اینها
بدان معنی نیستند که ما باید هدف خود را از ابتدا «به اندازه کافی خوب»
قرار دهیم. ما همواره باید هدف خود را بر آنچه که نیاز است قرار دهیم. شما
ممکن است بارها هنگامی که به درستی و با رویکردی مناسب به اهداف خود رو
کردهاید، شگفتزده شده باشید.
نداشتن زمان برای راهبرد مناسب
ما با توجه به کارهای عملیاتی خود درک
میکنیم که باید زمانی برای توقف پیدا کنیم و نگاهی طولانی، ژرف و صادقانه
به برنامههای امنیتی خود در مقایسه با آن چیزی که باید باشند بیاندازیم.
اما ما این را هم متوجه شدهایم که گاهی اوقات سازمانها زمان خود را صرف
فعالیتهایی میکنند که همیشه دارای ارزش نیستند. این یک چرخهی معیوب است،
سازمانها نمیتوانند درک کنند که چرا آنها تا این حد سرشان شلوغ است چرا
که آنها بیش از حد مشغول هستند تا به بررسی این موضوع بپردازند.
اگر چه این کار میتواند مشکل باشد، یک نیاز قطعی برای ایجاد وقفه و تفکر
وجود دارد. بله، در کوتاه مدت ممکن است که برخی از منابع از کارهای روزمره
کنار گذاشته شوند. اما در طولانی مدت، کار به درستی پیش خواهد رفت، اتخاذ
رویکرد راهبردی، جامع و تحلیلی به امنیت میتواند موجب شود که از آن
منابع کنار گذاشته شده استفادهی بهتری صورت گیرد و به سازمانها اجازه
خواهد داد تا وضعیت امنیت سازمان خود را به مراتب سریعتر و کارآمدتر از هر
روش دیگری که میخواهند به کار ببرند، بهبود بخشند.
فکر کردن در مورد هزینهی کلی
هنگامی که افراد میگویند: «ما میخواهم
ارزانترین گزینه را انتخاب کنم»، آنچه که ما اغلب از آن درک میکنیم این
است که «ما میخواهیم ارزانترین پیشپرداخت را انجام دهیم.»
هنگامی که سازمانها در مورد هزینهی یک راه حل فکر میکنند، آنها باید در
مورد هزینهی کلی آن صحبت کنند. همانطور که شما ممکن است انتظار داشته
باشید، این کار پیچیدهتر از صرفاً هزینهی اولیه به علاوهی هزینههای
تعمیر و نگهداری است.
همانطور که ما و بسیاری دیگر در این مورد قبلاً بحث کردهایم، خود فنآوری
یک راهحل نیست. راهحلها عبارتند از ترکیب صحیحی از افراد، فرآیندها، و
فنآوریها. هیچکدام از این سه عنصر اصلی نمیتوانند به تنهایی راهحلی
برای مشکل شما باشند. علاوه بر این، محاسبهی هزینهی کلی میتواند تا
حدودی گولزننده باشد و حتی در برخی از موارد شخص را گمراه کند. منظور ما
از این حرف چیست؟ بیایید یک نگاهی بیاندازیم.
هزینهی کلی یک راهحل ارائهشده شامل برخی از هزینههای آشکار و ملموس نظیر این موارد هستند:
• املاک و مستغلات (هزینههای مکان و فضا)
• منابع انسانی برای کار روی راهحلها و حفظ و نگهداری آنها
• منابع انسانی برای استفاده از راهحلها
• توان و نیرو
• هزینهی وسایل فنآوری که برای انجام راهحل لازم است.
• منابع انسانی به منظور توسعه و پیگیری فرآیندهای پی در پی راهحل
• آموزش
این یک فهرست جامع نیست، اما برای اینکه خواننده منظور ما را از یک
هزینهی ملموس و واضح متوجه شود کافی است. اما هزینههای کمتر مشهود و
ناملموس چه میشوند؟ در اینجا مثالهایی از این دسته آورده میشود:
• افراد، فرآیندها و فنآوریهای دیگری که برای معرفی پیچیدگیهای بیشتر به محیط عمل لازم هستند.
• منابع انسانی اضافی لازم برای غربال کردن اختلالاتی که توسط یک راهحل ضعیف و مشکلدار ایجاد شدهاند.
• هزینههای عملیات و تعمیر و نگهداری مربوط به یک راهحل که نیاز به توجه بیشتر از حد انتظار و یا بودجهبندی بیشتری دارد.
• حوادثی چون نفوذهای طولانی مدت و هزینههای مالی آنها که در اثر
ناتوانی از تشخیص نامناسب و ضعف کشف علائم اختلالات ایجاد میشوند.
• راهحلهای اضافی که برای برآورده کردن نیازهای عملیاتی لازم هستند و
برای غلبه بر مشکلات ناشی از یک راهحل نامطلوب صورت میگیرند.
همچنانکه میتوانید ببینید، نگاه کردن به هزینههای اولیه به تنهایی
میتواند گمراهکننده باشد. محاسبهی هزینهی کلی مالکیت TCO میتواند
پیچیده باشد، اما این تمرینی است که مزایای زیادی برای سازمانهایی که
محاسبات را به درستی انجام میدهند در بر دارد. تنها از طریق فهم صحیح TCO
میتوان راهحل صحیح را برای سازمان انتخاب کرد.
بدیهی است که هر سازمانی محدودیتها و گرفتاریهای خاص خود را دارد. اما
این بدان معنی نیست که باید صرفاً به سمت «به اندازهی کافی خوب بودن» حرکت
کنیم. به جای آن، یک سازمان همواره باید بر آنچه که متناسب با اهداف و
اولویتهای راهبردی آن سازمان است و به بهبود وضعیت امنیتی آن به شکلی
مؤثر و کارآمد میپردازد، تمرکز کند. شما فکر میکنید که ما میگوییم این
کار آسانی است؟ مطلقاً خیر. اما این بدان معنی نیست که ما نباید برای
انجام آن تلاش کنیم. هزینهی واقعی «به اندازهی کافی خوب بودیم» به سادگی
بیش از حدی که تصور میشود در مقابله با خطرات بالاست.