המדריך המלא ל-BCP DRP

ניהול שוטף יעיל של עסק, הוא כמעט תמיד עניין מורכב למדי. תמיד יהיו תהליכים עסקיים רבים לנהל, מידע רב לשמור ולעבד, לקוחות, עובדים, ספקים וכן הלאה – משימה מאתגרת למדי. לכן סביר בהחלט שבמוקדם או במאוחר יתרחשו שיבושים בהיקף כזה או אחר ובאופנים שונים. כאשר עסק מסודר ניגש לטפל בתהליכים השוטפים של העסק בצורה שיטתית, הוא יגלה שההתמודדות איתם מורכבת למדי. ההנהלה תצטרך להכיר עולם שלם של מונחים חדשים, כגון BCP ,DRP , BCM. כדי להפיק מנושא זה תועלת, יהיה צורך להתעמק בו, להבין אותו, לתכנן ברמה האסטרטגית וגם כמובן לתת לדברים ביטוי מעשי ברמה הטקטית, הטכנית. מה חשוב לדעת על כך? הינה כל הפרטים.

מהו BCP?

"כיבוי שריפות" הוא מושג מוכר בכל עסק. לעיתים, יש צורך להתמודד עם אירועי חירום משבשי פעילות כמו כשל טכני בציוד, טעות אנוש, פגיעה בזדון במערכות מחשוב שונות, אסון מקומי (כמו רעידת אדמה), מלחמה וטרור ועוד. היערכות מראש עשויה לשפר באופן מהותי את הטיפול בהם ואף למנוע אותם. היא תאפשר לפעול בזריזות ובצורה חכמה אשר תמנף את ניסיון העבר, כל זאת מבלי להפריע ליכולת להתגמש ולשנות את אופן הפעולה לפי הצורך והנסיבות בשטח. אך לשם כך דרושה פעילות יזומה של ההנהלה, אשר תקדם המשכיות של הפעילות העסקית. במילים אחרות – דרושBusiness Continuity Management. ואכן, BCP הוא תחום חשוב וותיק בעולם הניהול. הוא מתבטא באופן נרחב גם בעולם המחשוב העסקי, מאחר שעסקים תלויים במחשוב. BCP ונושא ניהול הסיכונים במחשוב עובדים יחד, שכן BCP בעצמו הוא חלק מניהול הסיכונים בעסק. ניהול סיכונים יסודי, שיטתי ועדכני, מאפשר להיות מודעים לכל מה שעשוי להפריע לפעילות העסקית, מבחינת פגיעה במחשוב.

מנקודת מבט מסוימת BCP דומה לביטוח. משקיעים בכך משאבים לאורך זמן, על אף שרוב הזמן "לא עושים עם זה שום דבר" – אלא שאם מקרי כשל יגיעו, העסק יהיה ערוך להם וכך ההשקעה תוכיח את עצמה. מחד, ישנה השאלה כמה עולה לעסק ההיערכות מראש? יש לתחזק אלמנטים בסיסיים שדרושים לכך כגון נפח אחסון, שהיום אפשר למצוא במחירים נגישים שיורדים בהתמדה ואף שירותי הענן שהופכים אותם לזולים עוד יותר. אבל אם בוחנים את הצד השני, שבו לעסק אין שירותי BCP, יכול להיות שהנזק הכספי הפוטנציאלי במצבי חירום יהיה עוד יותר גדול. חומרתו של הנזק תלויה במשתנים רבים, כגון תחום פעילותו של העסק, אופי כל כשל ספציפי ובעיקר השלכותיו העסקיות. לסיכום, כמו בביטוח, מדובר בהוצאה קבועה ומצטברת, אך כן יש להעריך אותה ככדאית.

מהו DRP?

Disaster Recovery Planning או תכנית התאוששות מאסון, עוסק בהיבטים המעשיים שנגזרים מהחשיבה, מניתוח הדברים ומהתכנון הכללי שבמסגרת BCP. נאמר למשל שמזהים שפעילות עסקית מסוימת היא הרגישה ביותר ומבחינת העסק היא החשובה ביותר להגנה. במסגרת DRP, יבדקו אילו שרתים ומערכות נוספות מאפשרים פעילות זו וכיצד יש להיערך מעשית להבטחת המשך פעילותם בשעת חירום.

מה ההבדלים בין DRP ל-BCP?

תוכניות DRP ו-BCP הולכות ביחד ומשלימות זו את זו. עם זאת, כדאי לדעת את ההבדלים בין השתיים. אלה מתבטאים בין השאר בנקודות האלה:

  • הגדרת מטרות ותיאום: BCP עוזרת לחשוב על הדברים "במבט על". במסגרתה ההנהלה מגדירה מה חשוב יותר ומה פחות ומעבירה את הנחיות האלה "מטה" בפירמידה הניהולית. ההנחיות באות לידי ביטוי בגיבוש תוכניות ה-DRP. מדובר בתיאום חיוני, אשר מסייע לכל הגורמים בעסק לפעול ביעילות המרבית במקרה חירום.
  • סדר התכנון: לכן, תוכניות DRP מגובשות באופן אידיאלי רק אחרי גיבוש נושא ה-BCP.
  • מהכללי לספציפי: ה-BCP מתייחס אל הכלל בעוד שה-DRP מתייחס אל פרט. לדוגמה, BCP עשוי לדבר על העברת הפעילות שנפגעה למערכת חלופית, ו-DRP יגדיר קונקרטית מי מהצוות יטפל בכך וכיצד.

איך אפשר להציל את העסק בעזרת BCP DRP?

מקרי כשל במחשוב עשויים לגרום לעסקים נזקים גדולים מאוד. לכן, המטרה היא מניעה, צמצום נזקים וחזרה מהירה לשגרה. דמיינו למשל מקרה של פריצת האקרים למידע רגיש של לקוחות, גניבת המידע וסחיטת העסק. מעבר לנזק כספי מידי, גם המוניטין של העסק והמכירות עלולים להיפגע, עד אפילו קריסה כלכלית. הזמן להצלת העסק שלכם איננו בשעת החירום, אלא לפני כן, בתכנון BCP ו-DRP. הדבר יתבטא במניעת מקרי חירום בעזרת חומת אש, התמודדות יעילה במקרים כאלה, אם וכאשר הם יתרחשו, ובשורה התחתונה – "המשכיות עסקית" בעזרת הבטחת המשך הפעילות העסקית השוטפת ככל האפשר. תכנון מראש ואוטומציה, מאפשרים לעסקים לבצע בשעת חירום מהלכים מתוחכמים, מהירים ויעילים למדי. למשל, בעקבות כשל במערכת מחשוב, אפשר לעבור באופן אוטומטי לשרת חלופי שיאפשר לעסק להמשיך לתפקד. אגב, הדבר עשוי להתבסס על שירותי ענן. שירותים אלה משמעותיים, בין היתר תודות למיקומם הגיאוגרפי הרחוק מהעסק וכך הם יהיו זמינים לגישה מכל מקום ומכל התקן.

מה כוללת התוכנית?

BCP ו-DRP הם כאמור שני דברים שונים, גם אם משלימים. במסגרתם עשויים להיכלל ההיבטים האלה:

  • מיפוי תהליכים: מיפוי תהליכים עסקיים ומיפוי משאבי מחשוב שמאפשרים אותם ותיאור הקשרים בין הדברים.
  • מטרות וסדרי עדיפות: לתכנן מה חשוב מבחינה עסקית בפעילות השוטפת. מכך נגזר סדר העדיפויות – על מה חשוב יותר להגן ובתוך כמה זמן חיוני לקבל התאוששות של תהליך עסקי ספציפי (Recovery Time Objectives).
  • אלטרנטיבות רצויות: הגדרת חלופות כגון שירות לקוחות בזמן תקלה בערוץ אלטרנטיבי.
  • תהליכים: תכנון תהליכים בזמן מצב חירום. כיצד יוכרז מצב החירום? מי יכריז עליו? למי הוא ידווח וכיצד? האם וכיצד יעודכנו גורמים נוספים כגון לקוחות העסק? מתי וכיצד תהיה חזרה רשמית לשגרה?
  • בעלי תפקידים: קביעת האחראים והצוותים במצבי חירום.
  • נהלים לבדיקת התוכניות שגובשו ושיפורן, הדרכה ותרגול.

לסיכום

עסקים אשר ישקיעו בתחום זה בצורה שיטתית וחכמה, יוכלו לשפר משמעותית את ההמשכיות העסקית שלהם ולצמצם נזקים.

Cloud Security