每一個安全維運都應該詢問他們是否準備好應對緊隨新冠病毒(COVID-19)爆發後的大流行(Pandemic)。就讓我們從關注這些面向開始吧!
文/Bob Violino 譯/曹乙帆
2019年12月,新冠病毒(COVID-19)在世界各地持續爆發,並成為各國當地的新聞頭條。截至2020年2月中旬,確診病例已突破7萬例大關。世界衛生組織(WHO)已宣布將此次疫情爆發列為「國際公共衛生緊急事件」(Public Health Emergency of International Concern, PHEIC),並呼籲衛生當局應繼續努力控制疾病的蔓延。
與其他公共醫療衛生危機一樣,組織需要評估對其自身營運上的潛在可能影響,並為因應大流行做好準備。「當我們檢視COVID-19所帶來的威脅時,仍然會有許多不確定因素存在,」國際商業風險諮詢公司Control Risks危機與安全諮詢業務負責人Mark Womble表示:「然而,可以肯定的是,自上一次大爆發的疫情(最引人矚目的莫過於2003年的嚴重急性呼吸道症候群SARS病毒疫情)以來,全世界在許多關鍵面向都發生了變化。」
首先,「我們之間的相互聯繫變得更加緊密,」Womble表示:「全球供應鏈成為常態,中國從中扮演了關鍵的角色。巨大的人口遷移和都市化,以及由這些趨勢所衍生導致而出的超級城市(Megacity),莫不讓世界人口中更高比例的人彼此之間變得更加緊密。」
這種不斷增強的互聯性進一步提高了大流行的風險,Womble表示,如果必須削減供應鏈和商務旅行的話,還會增加引發嚴重性商業活動中斷的可能性。
此外,社交媒體的大行其道也對全球造成了巨大的影響,它不僅僅影響了人們之間的溝通交流方式,還影響了每一個人獲取新聞的方式和管道。「這同時會有積極正面與消極負面的影響,因為社交媒體有理由被認為是傳播認知與意識的工具,但有時也很容易變成謠言和歇斯底里的散播途徑,」Womble表示。
而在2003年,商界領袖可能會對資訊的缺乏充滿無力的挫折感,「如今的領導人負責提煉資訊,但這些資訊有時會讓人感覺像是一股勢不可擋的巨量資訊洪流,」Womble表示:「因此,當前更加尖銳的資訊挑戰莫過於真實資訊本身及其來源的審查與確認,進而設定挑戰的底線並擬定決策,然後再與員工、供應商、供應鏈及公眾進行溝通。」
考慮到這一點,請從安全的角度考慮以下所建議公司大流行因應計畫的最佳實踐施行辦法:
1. 儘早開始為大流行做好準備
美國國內災難應變整備諮詢公司Cadmus負責人Nitin Natarajan表示,組織應儘早檢視自身現有的「業務持續性」(Business Continuity)、「緊急應變管理」和「風險溝通計畫」。這包括評估暫時性裁員或高於平均水準之遠端作業員工人數所可能帶來的影響。
「務必要評估人員減少對實體和網路系統所帶來的風險與弱點,包括內部和關鍵組織之間的相互依賴性,」例如供應鏈合作夥伴或服務供應商,Natarajan表示:「務必儘早、有規律地在內部和外部進行溝通,因為人們常會以不正確的資訊來填補資訊空虛感。」
安全和IT主管需要定期向公司高層彙報情況,以確保對領導階層的期望以及他們真正的風險接受程度有清楚的認識與了解,Natarajan表示。
2. 建立「情報基準線」
尋求有關普遍受關注之公共衛生問題的完美資訊是不合理的,Womble表示,這將加劇安全主管們可能早已感受到的挫敗感。「相反的,應該要確定你將依賴哪些可信的資訊來源,」他表示。好的來源範例包括世衛組織、美國疾病控制與預防中心(CDC)或簽約的醫療應變供應商。
運用這些資源,公司可以儘快地掌握並理解一切。「把你的認知宣導活動集中在這些資源上,除非出現必須解決的分歧問題,」Womble表示:「堅持使用選定的資源可以讓你對整個情況的發展進行趨勢分析。」
3. 確定潛在的觸發點、風險容忍度與回應措施
所有的危機都是流動性的,而緊急醫療問題往往更是如此,Womble表示。「一個觸發式風險升級矩陣是一個非常強大的工具,可以幫助你更具自信地做出回應,」他表示。
當新的資訊出現時,最重要的莫過於儘快地對該資訊進行驗證並識別出哪些風險升級計畫或其他預先審查的決策樹(Decision Tree)可能需要重新調整。「請接受你所知道或認定的『事實』也有可能會改變,」Womble表示:「請準備好重新評估你對關於所謂事實的假設,然後根據新資訊或新趨勢調整你的行動計畫。」
4. 確保採取協調一致的回應措施
各組織必須確保採取強而有力、協調一致的回應措施,該措施並能將網路安全、應急管理和風險溝通人員整合起來,Natarajan表示。「善用你們組織內的緊急應變中心(Emergency Operations Center),如果你們已經建立的話,」他表示:「確保與員工和外部利益相關者保持一致和頻繁的溝通。」此外,公司應與州立及地方公共衛生組織合作。
5.全球化思考
所謂「大流行」一詞指的是在一個大區域範圍(例如許多大陸或洲)內傳播的某種疾病而言。在評估安全風險或準備業務持續性計畫時,公司需要為全球大規模性的潛在影響做好準備。
「確保所有計畫都能將你公司業務在全世界各面向的因素皆納入考量,包括供應鏈、客戶和服務供應商等因素,」市場研究公司國際數據資訊公司IDC安全策略副總裁Pete Lindstrom表示:「像冠狀病毒之類的傳染病並不像自然災害那樣地具備地理上的孤立性。」
請記住,許多供應商和業務合作夥伴多半散布世界各地。「聯繫業務夥伴(特別是供應鏈)以確認有關任何可能安全問題的請求、訂單、出貨、收據、付款等指示,」Lindstrom表示。
6.對遠端工作能力的所有面向進行壓力測試
對COVID-19最大影響的各種評估預測之間往往大相徑庭,他們之間的差異甚至可能在一段時間內持續擴大,Womble表示。很明顯的,對商業的衝擊不會很快消失,甚至該衝擊在開始消失之前還有可能會增加力道,他表示。
「遠端工作(無論是出於選擇還是出於需要)大有可能地必須在你的業務連續性計畫中扮演重要的角色,」Womble表示:「現在就對基礎設施的各個面向進行壓力測試吧!」
一個打算遠端支援10%到20%人力的IT骨幹可能會在當前挑戰的重大壓力下苦苦掙扎。「你愈早了解自家系統中的弱點,就能擁有愈多的時間來解決問題,或者優先考慮誰可以存取你的系統,」Womble表示。
7. 分享更新時要確保透明
如果沒有願意並能夠超越自身正常職責的盡職員工來協助因應醫療危機可能帶來之獨特挑戰的話,那麼即使是最好的業務持續性計畫也可能遭遇重大的挑戰。
「確保員工的努力付出得到認可和讚賞,」Womble表示:「透過釋放(或稍稍減緩)員工必須篩選大量壓倒性且相互矛盾之情報的壓力,你便能讓他們更專注在自己的角色上,並解放這些人力以協助因應組織所面對的挑戰。」
公司對員工有關心的義務,對商業夥伴和社群也有更廣泛的責任,Womble表示。「危機的反面就是機會,對組織來說,很少有比身處會對個人及商業成果造成直接衝擊的危機中,更能建立信任度並證明自己的機會了,」他表示。