המשכיות עסקית הפכה כיום לביטוי שגור ומקובל בקרב ארגונים רבים ובפרט בין חוגי ההי-טק. אך האם גם דה-פקטו (למעשה) - או אולי רק דה-יורה (להלכה) ?
בפועל, מדברים על "המשכיות עסקית" (BCP) אך ממשיכים להערך לאישוש מערכות (DRP) בלבד.
מה "לא מספק" באישוש מערכות בלבד ?
פעילותו היומיומית של כל ארגון מורכבת ממגוון תחומים רחב ובכללם תחום העסקים, המחשוב, האדמיניסטרציה, משאבי אנוש, כח-אדם פנימי/חיצוני וכיו"ב.
הצלחת הארגון תלויה ביכולתו לתפעל כל אחד מהתחומים הנ"ל בנפרד ברמה מקצועית נאותה, ובו-זמנית בקואורדינציה מלאה המתואמת עם התחומים האחרים שבארגון.
התמקדות הארגון בחלק מהתחומים מתוך המכלול הקיים תהא בחזקת "גול עצמי" בהותירה את יתר התחומים זנוחים ומנוונים, ופגיעתה ברצף שצריך להיות קיים בפעילויות כל התחומים.
"אישוש מערכות" נותן מענה צר בלבד לשרידות הארגון בעת אסון והמשך פעילותו השוטפת, וזאת בהתייחסו אך ורק לשרידות מערכות המידע בהעדר התייחסות כלשהי למרכיבים נוספים.
מה צריכה להיות אם כך הגישה הנכונה ?
"המשכיות עסקית" בניגוד ל"אישוש מערכות" נותנת מענה נרחב לנושא בהתייחסה לכלל פעילויות הארגון, והיא גם עונה על ציפיותיו ושאיפתו לוודא המשך פעילות ארגונית רציפה.
יש להעדיף תכנון ל"המשכיות עסקית" (BCP) על פני "אישוש מערכות" (DRP) בהכילה מענה כולל לשרידות הארגון בעת אסון, בעוד שרידות מערכות המידע מהווה רק נדבך בתוך פעילות זו.
כלומר תכנון ל"אישוש מערכות" מוכלל בתוך התכנון ל"המשכיות עסקית", ומהווה רק חלק מתוך מכלול הנושאים המרכיבים את הפתרון המלא לשרידות הארגון בעתות אסון.
מה המיוחד בתכנון ל"המשכיות עסקית" ?
המייחד את התכנון ל"המשכיות עסקית" הנה הגישה המרחבית המקיפה אשר סוקרת את הארגון מנקודת מבט של כלל התהליכים המיושמים בו, וניתוח הסיכונים אשר אורבים להם המבוסס על מיפוי מדויק של הכלים והמהלכים השונים המרכיבים כל תהליך.
יעדי ה"המשכיות העסקית" הם להבטיח את המשך התהליכים הארגוניים והעסקיים גם במצבי חירום, ומתן מענה כולל לאישוש מודרג בשלבים של כל הכלים המעורבים בתהליכים הנ"ל.
תכנון ל"המשכיות עסקית" בוחן את כלל יכולות הארגון לשרוד במצבי חירום/אסון, ומציע תוכנית כוללת להמשך פעילותו של הארגון המתייחסת למכלול התחומים והמגזרים הקיימים בו.
מהם עיקרי התכנון ל"המשכיות עסקית" ?
במרכז התכנון ל"המשכיות עסקית" ניצב מיפוי וניתוח התהליכים העסקיים/ארגוניים המיושמים בארגון, ואיתור הסיכונים והכשלים לשרידות התהליכים הנ"ל ומערכות המידע התומכות בהם.
מיפוי וניתוח הסיכונים מהווה שלב מרכזי בתכנון ל"המשכיות עסקית", בהיותו המהלך הקובע את רמות הקריטיות המשוקללות של התהליכים וחלקי התהליכים המיושמים בתוך הארגון.
חיוניות וקריטיות של מערכים יישומיים (אפליקציות, דוא"ל, מערכות Web וכיו"ב) לפעילותו של הארגון, יהיו תוצרים ישירים של רמות הקריטיות אשר נקבעו עבור התהליכים.
כפועל יוצא מהמיפוי שבוצע וניתוח הסיכונים ניתן להתוות סולם תיעדוף לטיפול בכשלים שאופינו, ולעצב באמצעותו את יסודות ומרכיבי הפתרון שיאפשר לארגון "המשכיות עסקית".
עקרונות הפתרון שעוצב ישמשו כבסיס לתוכנית הקמה בשלבים - עם אבני דרך ולו"ז לביצוע - של התשתיות הנדרשות לאישוש מודרג והמשך פעילותו העסקית של הארגון בעתות חירום.
עיקרון מנחה בעיצוב והטמעת הפתרון הנ"ל נעוץ בהתייחסות לתהליך הכולל על מרכיביו השונים (ידניים, אדמיניסטרטיביים, אנוש וכיו"ב), ולא רק למערך המחשוב כבתכנון ל"אישוש מערכות".
כיצד מבטיחים את ערכיות התכנון והיישום ?
התכנון ויישום הפתרון ל"המשכיות עסקית" חייב להיות מלווה בתכנון לפיקוח ובקרה באמצעות מערך ניסויים (Test Plan), הבוחן בסיום כל "אבן דרך" שהונחה את חלקי התהליך שהושלמו.
הבחינה שתבוצע תקיף את כל המרכיבים השותפים בתהליך (ידניים, פיסיים, אנושיים וכיו"ב) עד לאותו שלב שהסתיים, ולא רק את חלקי המערך הממוחשב כבתכנון ל"אישוש מערכות".
סיום פרוייקט הקמת התשתיות ל"המשכיות עסקית" ילווה במערך של בדיקות מוכנות, המסתייע בהדמיית השבתות שונות של חלקים בתהליך ושל התהליך השלם.
סיכום.
קיימת הבחנה ברורה בין תכנון ל"אישוש מערכות המידע" (DRP) המתייחס לשרידותו של מערך המחשוב בלבד, לבין תכנון ל"המשכיות עסקית" (BCP) הכולל בתוכו את כלל הפעילויות בארגון.
התכנון ל"המשכיות עסקית" מהווה מענה לרצונו העז של הארגון לשרוד ולהתקיים בעולם העסקי והתחרותי המתנהל כיום, ולפיכך יש בו את כל המרכיבים הנדרשים להבטחת המשכיות פעילותו.
מהאמור לעיל ניתן להבחין כי קיימת עדיפות ברורה לתכנון של "המשכיות עסקית" על פני תכנון ל"אישוש מערכות המידע", ולפיכך על כל ארגון להערך באופן המבטיח את המשכיות פעילותו.
כתב:
צביקה גורן
יועץ בכיר לאבטחת מידע
מרכז תחום BCP/DRP
אבטחת מערכים יישומים
ואבטחת מערכות מחשב מרכזיות
צביקה גורן
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il.
Bsc - מתמטיקה, פיסיקה ומחשבים
Msc - ביופיסיקה
משנת 1971 בתחום המחשוב
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il.
