מה זה BCP?
לא פשוט להקים עסק מתפקד ולהגיע איתו למצב שבו הוא יציב כספית ואף מייצר רווחים. במבט על, אחד האתגרים הוא הצורך להתמודד שוב ושוב עם מצבים המפרים את היציבות הזאת. מה עושים אם מערכות המחשוב הותקפו ושותקו באמצעות סוחטה? מה אפשר לעשות אם אתר המכירות אינו זמין בגלל תקיפה כנגד הספק שמארח את האתר? או אם העסק שלכם מביא סחורה ללקוחות דרך כביש מהיר מסוים וכביש זה סגור במפתיע? יש תסריטים רבים של שיבוש פעילות פתאומי וגם קריטי, ולא תמיד אפשר למנוע אותם מראש ושאי אפשר להיערך לכולם באופן מושלם, אך בהחלט יש לכך מענה כוללני ויעיל – BCP. אם כך, איך BCP יכול לעזור לנו במקרים שכאלה? הינה כל מה שכדאי לדעת.
BCP: להמשיך באופן חלק ככל האפשר
Business Continuity Plan (או BCP) היא תוכנית מעשית במסגרת הפעילות האסטרטגית של Business Continuity Management (או BCM). הרעיון המרכזי כאן הוא להבטיח המשכיות (Continuity) של הפעילות העסקית גם במצבי חירום למיניהם. העסק הממוצע לא בנוי להפסקות ממושכות בפעילותו, לכן ליכולת לצמצם שיבושים כאלה ככל האפשר יש חשיבות אסטרטגית מהמעלה הראשונה.
רקע כללי
לאחר שמבינים באופן בסיסי מה זה BCP, חשוב להכיר גם את המונח DRP או Disaster Recovery Planning. מדובר בתכנון הנהלים המעשיים שיופעלו בשטח, אם וכאשר יתרחשו מצבי חירום מוגדרים. למשל במקרה של פגיעה בשרשרת האספקה שלכם, כאשר אחד הספקים לא מסוגל לספק לכם חומרי גלם חיוניים, צריכה להיות תוכניות מוכנה להשגת אותם חומרים ממקור אחר ובזריזות. אם יש פגיעה בזמינות עובדים, פגיעה בתפקוד מערכות מחשוב שונות, בתשתיות תקשורת ועוד – חשוב שתהיה לכם תוכנית מוכנה לתגובה למצב כזה, ולכל הפחות תוכנית לתגובה למצב דומה.
למעשה, דרוש כאן מעבר ממבט על שבוחן את פעילות העסק כולה, להתעמקות בפרטי פרטים טכניים שונים. כלומר מעבר מהקונטקסט הרחב, לצר ולמעשי יותר. הרי כל עסק הוא מעין מכונה ייחודית מיוחדת בפני עצמה. מה שמשותף בדרך כלל לעסקים כולם היא המורכבות. לכן כדי להתמודד היטב וביעילות עם מקרי חירום, חיוני קודם לכן לפרק את המורכבות הזאת לרכיבי היסוד השונים. יש לנתח אותם ולהגדיר מה קריטי ומה פחות, ובהתאם לכך יהיה אפשר להחליט במה משתלם יותר להשקיע במקרי החירום ובמה פחות.
איך זה נראה בפועל?
יישום של BCP יכלול את אבני היסוד החיוניות האלה:
- מעורבות ההנהלה – תכנון ראשוני של נושא זה וגם הכנסת שינויים מהותיים בו בהמשך, רצוי שיהיו בהובלת ההנהלה. לכל הפחות, ההנהלה חייבת להיות מעורבת בכך באופן שוטף ובתשומת לב רבה.
- ניתוח וניהול סיכונים – שאלה בסיסית היא מהם בכלל הסיכונים שבפניהם העסק ניצב, אשר דורשים תוכנית המשכיות עסקית? חשוב להתעמק בכך, בתוך הבאה בחשבון של סיכונים שבהם העסק כבר נתקל בעבר, סיכונים שאופייניים לתחום שבו הוא פועל וסיכונים מקומיים מיוחדים ככל שישנם. למשל סיכוני מלחמות, רעידות אדמה, משברים כלכליים, שריפה, פריצה וגנבת ציוד, משברים בריאותיים ועוד.
- תהליך של התמקדות – התכנון האסטרטגי המחושב של ניהול העסק מוביל, אם כך, לביצוע ניהול סיכונים כלל ארגוני. במסגרתו עשויים להיכנס לתחומי משנה של הסיכונים, כאשר דוגמה בולטת לכך היא ניהול סיכונים במחשוב. ניהול הסיכונים מספק בסיס לתכנון BCP ותכנון זה מתבטא בהמשך בהתמקדות נוספת, הפעם בגיבוש תוכניות התאוששות מאסון.
- קביעת יעדי התאוששות – יעדים להתאוששות צריכים להיקבע באופן מדויק וחד משמעי, כדי שתהיה שפה משותפת בנושא זה. למשל, שמערכת מחשוב חשובה מסוימת תחזור לפעולה, בתוך לא פחות מ-3 שעות.
- הגדרת תפקידים – מצבי משבר בעסק עשויים לשנות מאוד את אופן תפקוד העובדים וההנהלה. בכל מקרה, בהקשר BCP חיוני להגדיר מראש מי המנהלים והעובדים שיהיו אחראים על טיפול במשבר וכיצד. מה יהיו תחומי האחריות וכמובן, לוודא שלא תהיה התנגשות או חוסר בהירות בנושא זה. לאחר מכן, יש להדריך אותם בנהלים שגובשו.
- תרגול – חיוני לתרגל את נהלי ההתאוששות מאסון שעליהם הוחלט.
ללמוד מהניסיון ולשפר
לאחר התרחשות מקרה חירום, אפשר ואפילו חשוב לנתח את מה שקרה ולהפיק מכך לקחים מעשיים. לקחים אלה, עשויים להתבטא גם בשינוי תוכניות ההתאוששות עצמן. היבט בסיסי למדי בבדיקה כזו, הוא ביצוע השוואה בין התוכניות המקוריות להתאוששות מאסון לבין מה שבוצע בפועל. האם ומדוע היו הבדלים ומה אפשר ללמוד מכך לעתיד? להשלמת התמונה נציין, כי ברוב הדברים אין צורך "להמציא את הגלגל מחדש" – BCP הוא תחום ותיק, שלו best practices מוכרים ואף מתודולוגיות מסודרות ליישומו. בארץ למשל, ידוע נוהל מפת"ח שפיתח משרד האוצר, אשר מתייחס גם לניהול סיכונים ול-BCP.
כמה היבטים משלימים
- כיצד המחשוב משתלב? – חלק מהמורכבות של BCP, מתבטא בשילוב סוגים רבים של תהליכי עבודה. המחשוב תופס בכך היום חלק מרכזי, אך המשכיות עסקית תלויה לא רק בו. מקרי חירום מתרחשים גם במחשוב, אך לא רק. יש גם מצבים שמשפיעים על סוגי מערכות שונים במקביל. למשל חוסר זמינות של כמה עובדי מפתח או הפסקת חשמל, אשר מנטרלת גם את המחשוב בעסק אך גם מכונות שונות, מערכות מיזוג ועוד.
- גיבוי – גיבוי הוא נושא משלים חיוני להתאוששות ממקרי אסון. זהו תחום שמיושם בעסקים במילא ובהקשר של BCP, הוא ממונף באופן שגרתי ושימושי ביותר.
- לא רק בחירום – עוד היבט מעשי חשוב הוא כיצד לחזור לשגרה לאחר מצב החירום. גם זהו למעשה מעבר ממצב פעילות אחד (מצב החירום) למצב אחר (המצב השגרתי התקין).
- שירותי עזר לנושא BCP – יש שירותים המסייעים לממש את התוכנית בפועל ובצורה נוחה וקלה יותר לעסק.
- חשיבות הבהירות – הנהלים בנושא BCP יהיו כמובן כתובים, אך חיוני שהניסוח יהיה פשוט וברור מאוד להבנה בשעת לחץ.
לסיכום
BCP דורש השקעת זמן ומשאבים נוספים אם רוצים לעשות זאת היטב. ניסיונם של עסקים רבים כבר הוכיח שהדבר משתלם מאוד. נראה שלהנהלות עסקים אף פעם אין די זמן פנוי להקדיש לכל מה שחשוב לפעילותם התקינה, אך זהו בהחלט נושא שכדאי להשתדל לפנות לו זמן ולתת לו מענה מסודר ויסודי.