什么是运营弹性？

运营弹性是指组织预防、检测、应对、解决业务中断并从中汲取经验教训的能力。对组织而言，运营弹性能够确保当前和未来的业务连续性和稳定性。即使在经济不景气的时候，那些展现出强大弹性的公司也能获得更高的回报¹。

实现运营弹性需要具备什么？需要精心规划，并制定一个涵盖人员、流程和技术 (PPT) 的框架战略。有效的运营弹性是一种风险缓解和管理战略，旨在改进响应和恢复流程。业务中断可能导致收入损失、客户信任度下降和声誉受损。运营弹性能够最大限度地减少潜在破坏性事件对组织、组织的合作伙伴及客户的影响。换句话说，它能确保业务持续进行。

运营弹性的支柱能够确保公司在遭遇中断时仍能保持正常运营。运营弹性可以细分为以下五个支柱：

风险识别与评估：识别和评估风险是风险管理战略的基础，也是运营弹性的一项核心举措。然而，规模的扩展和业务的增长也伴随着诸多风险！安全漏洞、经济变化、供应链中断、组织内部转型等都可能带来潜在威胁。

识别和评估风险的方法包括：集思广益、文档审查、信息收集、优势、劣势、机会和威胁 (SWOT) 分析、根本原因分析 (RCA)、假设分析以及风险登记册。风险优先排序有助于提升响应能力，确保相关团队在尽量不中断业务活动的情况下迅速采取行动。

业务连续性规划：为了在中断期间确保业务能够“如常”运营，就必须针对任何可能的中断情况，制定明确的运营流程和利益相关者名单。这就是业务连续性规划，它基于系统性的风险识别和评估方法制定，旨在为潜在的中断提供解决方案。规划委员会成员包括 IT 团队、安全部门和高管领导等，旨在明确在遭遇中断时应采取的行动，以最大限度地减少中断影响。

一个成功的业务连续性计划依赖于几个关键步骤：信息收集（风险评估）、计划的制定与设计、实施、测试以及持续的维护和更新。环境因素也在不断变化，这既包括新出台的法律法规等外部因素，也涵盖了企业内部新技术的采用等内部因素。因此，定期对业务连续性计划进行审查，对于确保其有效性和可行性至关重要。

业务连续性计划的复杂度会随组织规模的不同而有所变化，需要考虑的要素和潜在风险也各不相同。一个优秀的业务连续性计划应当是简明扼要的。它应当明确对连续运营至关重要的资源、与连续运营紧密相关的地点、负责连续运营的关键人员，以及可能产生的成本。

事件响应和恢复：在数字时代，企业不可避免地要面对网络安全漏洞、威胁或攻击。事件响应和恢复计划是正规化的流程和技术，旨在预防网络攻击，并在攻击发生时将其影响降至最低。常见的安全事件包括勒索软件、网络钓鱼和社交工程、分布式拒绝服务 (DDoS) 攻击、供应链攻击或内部威胁。

事件响应和恢复计划通常由专属的计算机安全事件响应团队 (CSIRT) 负责制定。这个团队的成员通常包括组织的首席信息安全官 (CISO)、安全运营中心 (SOC) 成员、IT 员工、公司高管、法律专家、人力资源专家、风险管理人员，以及法规合规人员等利益相关者。这些计划详细阐述了在发生任何特定事件时，每位利益相关者的角色和责任。计划中明确了在中断期间恢复受影响系统的规程、针对事件应采取的一系列详细应对措施、向所有受影响方传达信息的通信协议，以及用于事件后审查和未来学习的数据收集方法。

此外，事件响应和恢复流程还必须包括检测与分析步骤、遏制规程以及根除解决方案。一旦网络安全团队检测到并分析了威胁，就必须立即加以遏制，以限制其造成的损害。短期遏制措施旨在迅速应对威胁以中和其影响，而长期遏制措施则侧重于增强未受影响系统的防御能力。在威胁得到有效遏制后，团队可以着手通过彻底根除威胁来解决问题。随后进入恢复阶段：团队将通过打补丁或重启系统等方式，使系统恢复正常运行。

危机管理：危机管理是指组织在面对任何规模的危机时所采取的应对措施。当发生破坏性事件时，组织需迅速反应并启动业务连续性计划。这就是危机管理的核心。有效的领导力、高效的规程和快速的动员能力，是区分危机管理运作成功与否的关键因素。

自适应治理和文化：有效的危机管理需要组织具备敏捷性和适应性。迅速应对中断只是实现运营弹性的一部分。采用适应性治理和文化意味着组织还需积极从环境和发生的事件中汲取教训，为未来的决策提供指导。这相当于在组织层面培养成长型思维模式。

运营弹性对任何组织的盈利能力都至关重要。当服务出现滞后、中断或遭受黑客攻击时，不仅会影响客户体验，还可能带来安全风险。根据行业的不同，这些后果可能从轻微的不便演变为危及生命的严重问题，如医疗保健行业中的情况。此外，这些问题还会损害客户信任，甚至引发法律纠纷 — 数据泄漏可能构成对法规合规要求的违反。短期内，组织可能会陷入解决这些问题的困境中。但从长远来看，组织的声誉也会因此受损。

运营弹性使得 IT 团队能够最大限度地减少中断，从而确保快速恢复、减少业务中断并维持生产效率。同时，防止故障发生或迅速解决故障还能够维护客户信任和组织声誉。这进而保护了组织免受收入损失和随之而来的财务不稳定的影响。

业务连续性和运营弹性这两个概念有时会被互换使用，但实际上它们在范围和方法上是存在差异的。业务连续性是运营弹性的一个重要组成部分，指的是一种正式且具体的规划类型，旨在确保在发生中断时，业务能够顺利、快速地继续运行。

运营弹性是一种全面且主动的方法，旨在帮助组织在中断期间和之后抵御冲击、适应变化并实现繁荣发展。它涉及持续的评估，以推动不断的改进。在这个过程中，组织的各个方面，包括供应链、技术、通信以及员工团队，都将被重新评估。

运营弹性依赖于适应性治理和持续改进来补充恢复程序。为了展现企业的弹性，既需要业务连续性规划，也需要运营弹性方法。

随着新技术的不断涌现，组织往往都来不及充分适应之前的最新技术迭代，因此实现运营弹性正面临越来越大的挑战。此外，网络威胁也日益复杂多变，需要各组织在网络安全专业人员和技术方面进行大量投资。同时，供应链系统也变得前所未有的复杂，需要依赖于一个由全球参与者组成的错综复杂网络，而这些参与者都会受到各自国家和地区不同监管要求的制约。

对于任何组织而言，在平衡成本与确保弹性之间保持平衡始终是一项挑战。毕竟，运营弹性对任何组织的生产效率都有重大影响，进而影响到其财务可行性。因此，公司必须明确自身的优先事项，以了解如何以最佳方式分配资金和资源，从而维持稳定并实现增长。

此外，缓解网络威胁和数据泄露风险所需的资源比以往任何时候都更为庞大。威胁者的装备更加精良，而公司的受攻击面也更为广泛，这进一步加剧了漏洞的数量。虽然扩展的数字环境为组织提供了更大的灵活性和更快的发展速度，但同时也构成了重大的运营弹性挑战。

提升运营弹性的首要任务是开发一个全面的弹性框架。公司应采取结构化的方法，并将弹性框架融入组织的各个层面，从战略规划到日常运营，确保全面覆盖。

为实现有效的网络安全弹性，组织需要实施强有力的措施，并定期进行测试和演练。对于具有网络弹性的组织来说，采取前瞻性的方法是成功的关键。同时，这也能确保制定全面且相关的事件响应和恢复计划。有备无患是核心原则。

归根结底，弹性问题关乎组织内部的文化。领导层需要在所有渠道上进行有效沟通，并表现出对持续学习的承诺，这对于提高运营弹性至关重要。

随着公司不断加大对 AI 和机器学习技术的投入，我们可能会看到这些技术被用于增强运营弹性。预测性弹性模型利用数据分析和机器学习技术，能够比分析师更快地预测潜在的中断，并且预测的细节更为详尽，从而推动风险管理措施的实施。

此外，全球合作与信息共享对于培养更具弹性的组织也将发挥重要作用。随着供应链需跨境运作，大多数公司现在雇用了分布在全球多个时区的员工，且这种趋势并未有减缓迹象。因此，在法规合规、新威胁识别以及安全战略制定等方面的国际合作，将成为确保组织具备高度弹性的关键。

为了应对未知的挑战，公司必须考虑可持续的长期弹性战略。随着气候危机的日益严峻，导致频繁发生可能引发严重中断的天气事件，因此，弹性与可持续选择紧密相连，相辅相成。这绝不仅仅局限于保护措施 — 真正的运营弹性需要不断地重塑与创新。

• 借助灵活的数据存储方案实现运营弹性
• 从愿景到实践：利用生成式 AI 增强运营弹性指南
• 利用生成式 AI 提升运营弹性
• 生成式 AI 在业务可观测性中的应用：IT 领导者的必备知识
• 解决隐藏的数据难题，提升运营弹性
• DORA：网络安全和运营弹性的模式转变
• GovLoop 实战手册：加强运营弹性

麦肯锡，Resilience for sustainable, inclusive growth（提高弹性，促进可持续的包容性增长），2022 年。