התאוששות מאסון והמשכיות עיסקית (DRP, BCP) - לא לכולם
רק לאלה שעלולים אי-פעם להפגע מאסון ורוצים למזער את הנזק
גם אם אתה יודע, מבין ומכיר בכך שהארגון שלך (עם או בלי פיקוח רגולטורי) חייב להטמיע את דרישות ההמשכיות העיסקית שלו במערך התהליכים העיסקיים הארגוני – זה לא אומר שאתה מנהל בכיר בבנק או בחברה ממשלתית. אולי בתפקיד הבא, אולי לא, אך בכל מקרה אתה מחזיק בתפיסה שהיא אבן יסוד בהשרדות עיסקית.
מודעות לנושא זה אינה בלעדית למנהלים בתחומי ה-IT. העליה ביכולות מערכי המיחשוב שלנו כמו גם של מיתחרינו מחדדת ומגבירה את התחרותיות בשוק מה שמביא את כולנו לכדי הישענות כבדה – אם לא תלות - במיחשוב. וכאילו לא די בכך, מגה-אסונות טרור או טבע, "סתם" שרפה, חבלה במזיד, בעיית חומרה או טעות אנוש קריטית דואגים כל פעם מחדש להעלות את השאלה "האם ועד כמה אנו יכולים להרשות לעצמנו להיות מושבתים, מלא או חלקית".
מתוך צורך מיידי למתן מענה לקריסת מערך ה-IT כולו או חלקו, צמחו תוכניות להתאוששות מאסון (DRP – Disaster Recovery Plan) הרבה לפני שמונח זה היה קיים. עם יותר או פחות קשר לאסונות כאלו ואחרים - "התבגר" הליך טבעי זה. התבגרות זו באה לביטוי בשני אפיקים ראשיים מקבילים: בשלות טכנולוגית ותפיסה ארגונית.
מגוון הפתרונות הטכנולוגיים רחב מאד, וזה לא חדש. התפיסה הארגונית לעומת זאת, נמצאת בד"כ צעד אחד (לפחות) מאחור למרות שהמטרות היו פשוטות וברורות מאז ומעולם:
א. שרידות מקסימלית: המשכיות עיסקית ורצף תפעולי
ב. מינימום החלטות בדרך להתאוששות
ג. מיזעור נזקים.
נראה כי הכרה במטרות אלה, שילובן והטמעתן במטרות העיסקיות הכוללות של הארגון הן הדרך הנכונה בהתייחסות לגורמים בעלי השפעה קריטית על ריווחיות הארגון אם לא על קיומו.
הדרך להגדרת מענה מקיף והולם לשרידות הארגון בעת אסון, הגדרת BCP – Business Continuity Plan יכולה להיות מוגדרת די בפשטות בעצם:
א. ניתוח סיכונים על בסיס פעילויות הליבה הארגוניות (BPM – Business Process Management), תיחומם ותיעדופם מחד, והגדרת תרחישי אסון מאידך
ב. הגדרת DRP לתמיכה בהתאוששות מערכי המיחשוב הארגוניים (ע"פ ניתוח הסיכונים) תוך שימוש במענים המיטביים לצורך מבחינה לוגיסטית (אתרים, כח-אדם), טכנולוגית (חומרה ותוכנה) ונהלים מפורטים להתאוששות IT.
ג. הגדרת מהלכי ההתאוששות הארגוניים, מיקום רכיבי ה-DRP בינהם וגיבויים באמצעות נהלים מוטמעים היטב.
מעבר לרמת ההגדרה, מפורטת ככל שתהיה, ארגון הבא ליישם מערך DRP אינו חייב לעבור תהליך כה קריטי לבדו ויש בפניו שלשה ערוצים בהם יש ביכולתו להעזר:
א. אתרים וכלי-עזר מנחים לפיתוח DRP ו/או BCP לארגון (כמו COOP Systems Inc., Linus Information Security Solutions)
ב. הנחיות תקינה כלליות מתייחסות לא אחת לנושאי התאוששות (הנחיות הרגולציה לנוהל בנקאי תקין 357 לדוגמא) ומגדירות דרישות ברורות וחד-משמעיות ממערכת זו
ג. חברות יעוץ המתמחות בתחום.
להלן שתי חברות מובילות הפעילות בתחום ה-DRP/BCP בשוק הישראלי ותאור הגישה המייחדת את פעילותה של כל אחת מהן. אתם מוזמנים לפנות לחברות אלה כדי לדעת כיצד תוכלו להעזר בהן לטובת הארגון שלכם.
>>> צ'יף (CHIEF GROUP) - תכנון המשכיות השירות מאחרית לראשית
אין עסק או ארגון זהה לרעהו, בכל אחד קיימים צרכים, אילוצים ומאפיינים שונים. כל ארגון מייחס חשיבות שונה לסיכונים השונים ונשען על עקרונות, תשתיות, סגנון ויכולת אנושית שונה. אילוצים אלו מצריכים מאיתנו להפעיל את מיטב היצירתיות והמחשבה בכדי להתאים לכל ארגון את האמצעים הנחוצים להמשכיותו העסקית והתפעולית. וכל זאת, תוך כדי התייחסות לתקציב העומד לרשותו ולמסגרת וקצב הזמן הדרושים לו, בראיה כוללנית - הוליסטית - המחויבת ממגוון הסיכונים העורבים בימינו.
• זווית הראיה הרחבה יותר מכיוון ההמשכיות העסקית (BCP) היא זו שצריכה להוביל באיתור הפתרון המתאים על פני זווית הראייה הצרה של תחום מערכות המידע בשעת אסון (DRP). יש שמעדיפים לתאר זווית זו כ"הוליסטית", מפני שתחומי המחשוב השונים אינם נפרדים זה מזה והמחשוב כולו אינו מנותק מן המטרות העסקיות של הארגון. בצ'יף אנו קוראים לגישה זו "פילוסופיה ממוקדת המשכיות השירות".
זווית הראיה בצ'יף על ההתאוששות וחזרה לפעילות עסקית מבוססת על החוליה האחרונה בשרשרת, הנזק עצמו. משנות השמונים בוחנים מדי שנה במעבדת הצלת הנתונים ב-צ'יף אלפי נזקים במערכות מחשב ומגלים כי לעתים קרובות ניתן היה למנוע או לצמצם את הנזק באמצעות כלים או תהליכם שהיו זמינים לארגון, אך לא נעשה בהם שימוש מושכל.
• תהליך התאוששות תקין מתחיל מהגדרת המטרות הארגוניות הכוללות ורק לאחר מכן נבחנים צרכי המחשוב המושפעים ממטרות אלו. בסוף התהליך מאותרים הפתרונות המתאימים ליישום המטרות. פתרונות אלו חייבים להיות יעילים בשעת אסון לפחות כיעילותם באופן שוטף. ניסיונה של צ'יף מראה כי במדינת ישראל בלבד נגרמים נזקים למערכות מידע עסקיות בהיקף של כ-300 מקרים בכל יום. חלק מהמקרים מגיעים למעבדה לשם שחזור מידע כאשר לכולם, ללא יוצא מן הכלל, יש מערכות גיבוי מצוינות, חדישות ויעילות, המבצעות גיבויים כפי שנדרש מהן... אך ביום קרות הנזק אינן מאפשרות את החזרת המידע הקריטי להמשכיות פעילות הארגון.
• לעתים נראה כי גישות ה- DRP, BCP ומטרות הגיבוי הארגוני כלל אינן לוקחת בחשבון את משך תהליך השחזור וההתאוששות, את מחירו הכולל הצפוי או את תקיפות ועדכניות המידע המוחזר. נראה כאילו תהליך הגיבוי עצמו, בניית האתר החלופי, או קניית המערכת המקבילה הפכו להיות המטרות הארגוניות וכושרן למנוע או לצמצם נזקים ייחודים לארגון נסמך על פרסומי היצרנים ורשימת לקוחות מרשימה.
צרכי שרידות הארגון צריכים להיות מוכתבים על פי אופי וצרכי הארגון ולא על פי ההיצע בשוק.
• מרכיב נוסף אליו יש להתייחס הנו הסיכונים הסבירים להמשכיות השירות. בימינו, רשימת האירועים הפוטנציאליים המסוגלים לקטוע, לשבש, או להכביד על הפעילות העסקית, ובעיקר כל פעילות בה מעורבות מערכות ממוחשבות, נראית אינסופית. החל מאירועי אבטחה, אסונות טבע ופעילות חבלנית, ועד לתקלות מינוריות בלתי צפויות, ברמת המשתמש. לא ניתן להגן על כל ארגון מפני כל הסיכונים האפשריים ובכל נקודת זמן, כאן באים לידי ביטוי יכולתנו וניסיוננו הייחודיים, בסיוע לארגון לסווג את המגוון האינסופי של סיכונים קיימים לסיכונים ודאיים, לסיכונים אפשריים ולסיכונים בלתי סבירים, ובאיתור והשמת הפתרונות המוכחים היעילים ביותר למניעת אותם הסיכונים וצמצום הנזק הנגרם מהם.
• למידע נוסף הכנסו ל: CHIF.rfigo.co.il
>>> Net-App - פתרונות רציפות עסקית
פשטות מבנית, שחזור נתונים מהיר, אחסון גמיש ועלות סבירה להתאוששות מאסונות.
פתרון האחסון של NetApp הוא היצע מקיף המתמודד עם כל הגורמים להשבתות יישומים, מונע שגיאות משתמשים, מאפשר התאוששות מהירה משגיאות של מפעילים ויישומים, מקצר את משך ההשבתות המתוכננות, ממקסם את משך הפעולה הרצוף של המערכות ומאיץ את ההתאוששות מאסונות. NetApp מספקת רמה יוצאת דופן של זמינות נתונים המתאפיינת בפשטות מבנית, שחזור נתונים מהיר, אחסון גמיש ועלות סבירה להתאוששות מאסונות. כל אלה מאפשרים לארגון להגן על יותר יישומים במחיר נמוך יותר.
• הייחודיות של NetApp היא המענה הפשוט והמלא שהיא מספקת לבעיה מורכבת. ייחודיות זו מתבטאת גם ביכולות הפיתוח של החברה. NetApp הייתה הראשונה שהביאה לשוק את טכנולוגיית ה-Snapshot אשר מהווה אתגר לא פשוט עבור המתחרים גם כיום, שנים רבות לאחר השקתה. מערכת ההפעלה הייעודית של NetApp, מאפשרת ללקוחותיה להשתמש באותם כלים לאורך כל קו המוצרים של NetApp בדגש על קו פתרונות האחסון המאוחד (Unified Storage) המאפשר עבודה במקביל לסביבות הטרוגניות כגון FC-SAN (Fibre Channel), IP-SAN (iSCSI), NAS ו-CIFS.
• טכנולוגיית ה-RAID-DP הבלעדית של NetApp היא נקודת בידול חשובה נוספת. במידה ושני הדיסקים נופלים בבת אחת, עדיין הארגון לא יאבד ולו טיפת מידע אחת של מידע והמערכת תמשיך לשמור על רציפות העבודה, תוך תיקון עצמי ועד אשר יוחלפו הדיסקים התקולים.
• הפתרונות של NetApp מאפשרים לחברות למנף את אתר ההתאוששות מאסון לטובת שימושים עסקיים אחרים. טכנולוגיות ReplicatorX או SnapMirror בשילוב עם FlexClone מאפשרות יצירת מספר רב של עותקים בעלי ניצולת אחסון מרבית ויעילה לשימושים אחרים כגון בדיקה, פיתוח ובקרת איכות, מבלי לפגוע בייצור. ReplicatorX ו-SnapMirror מאפשרים גיבוי מרכזי של נתונים על קלטות ממספר רב של מרכזי נתונים ובכך לצמצם את ההשקעה בתשתיות לקלטות וכן להוריד את העומס על השרתים המרכזיים, הנגרם כתוצאה ממשימות הגיבוי השונות.
פתרונות ההתאוששות מאסונות של NetApp הינם גמישים וחסכוניים ומאפשרים ללקוחות לכלול יותר רבדים יישומיים בתוכנית אחת להתאוששות מאסונות. בנוסף, הפתרונות של Network Appliance מסייעים לעסקים להצדיק את ההשקעה בתשתית ההתאוששות מאסון על-ידי ניצול מושלם של אתר ההתאוששות מאסון המפחית את העומס המוטל על מערכות הייצור, בין אם מדובר בגיבויים על סרטים, בדיקות יישומים וגישה מרחוק לקריאת נתונים.
• הזווית הישראלית של NetApp
בנובמבר 2006 רכשה NetApp את חברת טופיו מחיפה תמורת 160 מיליון דולרים. טופיו, אשר נטמעה ב-NetApp בהצלחה רבה פיתחה את פתרון ה-ReplicatorX בטכנולוגיה המאפשרת שכפול נתונים לאורך כל סוגי מערכות האחסון הקיימות. התוכנה שפיתחה החברה מאפשרת לארגונים להעתיק את נתוני הייצור שלהם מכל מערכת אחסון ולהעבירם לכל מערכת אחרת, לצורכי גיבוי או התאוששות מאסון, מבלי להפריע לתהליכי העבודה. רוב יצרני מערכות האחסון מאפשרים העתקת נתונים ממערכת אחת לאחרת, אבל רק במידה והמערכות יוצרו על ידי אותה חברה. טכנולוגיית ReplicatorX מאפשרת לאותה החברה לעבוד באתר אחד עם מערכת אחסון של יצרן א' ובאתר השני עם מערכות של חברה ב'.
• למידע נוסף הכנסו ל: NTAP.rfigo.co.il
אתר: www.RFIgo.co.il