מהו יישום BCDR?
יישום BCDR הוא תהליך מקצועי ומתודולוגי שמטרתו להבטיח כי הארגון יוכל להמשיך לפעול גם במצבים של תקלה חמורה, אירוע סייבר, פגיעה בתשתיות או אובדן גישה למערכות קריטיות.
המונח BCDR מחבר בין שני עולמות משלימים.
החלק הראשון הוא Business Continuity, כלומר המשכיות עסקית.
זהו תחום שעוסק בשאלה כיצד הארגון ממשיך לתפקד גם כאשר חלק מהמערכות, העובדים, האתרים או הספקים נפגעים.
החלק השני הוא Disaster Recovery, כלומר התאוששות מאסון.
זהו התחום שעוסק בשחזור מערכות המידע, הנתונים, השרתים והשירותים הטכנולוגיים לאחר כשל או אסון.
יישום BCDR אינו מסמך תיאורטי שנשמר בתיקייה.
מדובר בעבודה מעשית שכוללת מיפוי של כלל הנכסים הקריטיים בארגון, הבנת התלות בין מחלקות ומערכות, קביעת זמני התאוששות רצויים, קביעת מדיניות גיבוי ושחזור, בחירת פתרונות טכנולוגיים, כתיבת נהלים, בניית תרחישי חירום, ביצוע בדיקות תקופתיות והדרכת עובדים ומנהלים.
במילים פשוטות, יישום BCDR עונה על כמה שאלות יסוד.
מהן המערכות שאסור שיפסיקו לעבוד.
כמה זמן הארגון מסוגל להיות מושבת לפני שייגרם נזק חמור.
כמה נתונים הארגון יכול להרשות לעצמו לאבד.
מי אחראי על כל שלב בעת אירוע.
כיצד משחזרים את הפעילות מהר ככל האפשר.
כאשר יישום BCDR מבוצע נכון, הארגון יודע מראש כיצד לפעול בתרחישים שונים.
הוא לא מאלתר תחת לחץ.
הוא לא תלוי רק באדם אחד שמכיר את השרתים.
הוא לא מגלה בזמן אמת שהגיבוי לא תקין.
הוא גם לא ממתין ימים ארוכים עד שהמערכות יחזרו לפעילות.
אחד המושגים החשובים בתחום הוא RTO, כלומר פרק הזמן המקסימלי שבו המערכת יכולה להיות מושבתת.
מושג מרכזי נוסף הוא RPO, כלומר היקף הנתונים המקסימלי שהארגון מוכן לאבד בין גיבוי לגיבוי.
יישום BCDR מקצועי מגדיר את היעדים הללו עבור כל מערכת קריטית, ומתאים להם את הפתרון הנכון.
למשל, מערכת הנהלת חשבונות יכולה לדרוש יעד התאוששות שונה ממערכת ייצור, ומערכת מסחר מקוון יכולה לדרוש זמינות גבוהה יותר ממערכת פנימית לניהול מסמכים.
חשוב להבין כי יישום BCDR הוא תהליך רוחבי.
הוא לא שייך רק למחלקת IT.
הוא משלב הנהלה, תפעול, כספים, משאבי אנוש, שירות לקוחות, אבטחת מידע, משפטי וספקים חיצוניים.
המשמעות היא שהצלחת היישום תלויה ביכולת לחבר בין התמונה העסקית לבין הפתרון הטכנולוגי.
סוגי יישום BCDR
כאשר מדברים על יישום BCDR, חשוב להבין שאין מודל אחד שמתאים לכולם.
הפתרון הנכון תלוי בגודל הארגון, בתקציב, ברגולציה, בסוג המידע, בסביבת העבודה, ברמת הסיכון ובצרכים התפעוליים.
לכן קיימים מספר סוגי יישום BCDR, ולעיתים אף שילוב ביניהם.
הסוג הראשון הוא יישום מקומי המבוסס על תשתיות On Premise.
במודל זה הארגון מקים מערך גיבוי, שרתים חלופיים ומנגנוני שחזור בסביבה מקומית, לרוב בחדר שרתים ראשי ובאתר משני.
זהו מודל שמתאים לארגונים עם דרישות שליטה גבוהות, מערכות ישנות, רגולציה מחמירה או תלות בתשתיות פיזיות ייחודיות.
היתרון שלו הוא שליטה גבוהה יחסית.
החיסרון הוא עלויות תשתית, תחזוקה, ציוד, חשמל, קישוריות וצורך בכוח אדם מקצועי.
הסוג השני הוא יישום BCDR בענן.
כאן הארגון משתמש בשירותי ענן לצורך גיבוי, רפליקציה, שחזור מערכות והפעלת סביבת חירום בעת תקלה.
זהו מודל נפוץ מאוד בשנים האחרונות משום שהוא מאפשר גמישות, קיצור זמני התאוששות, חיסכון בתשתיות מקומיות והרחבה מהירה בהתאם לצורך.
עם זאת, גם בסביבה כזו נדרש תכנון נכון מאוד.
עצם המעבר לענן אינו מהווה יישום BCDR.
יש להגדיר אילו מערכות מגובות, כיצד מתבצע השחזור, מי מאשר הפעלה חלופית, איך נבדקת תקינות הנתונים ומה קורה כאשר נפגעת זהות המשתמשים או הקישוריות לאינטרנט.
הסוג השלישי הוא יישום היברידי.
זהו למעשה המודל הנפוץ ביותר בארגונים בינוניים וגדולים.
חלק מהמערכות פועלות מקומית, חלק בענן, וחלק מהגיבויים או מנגנוני ההתאוששות מפוזרים בין אתרים שונים.
היתרון הוא התאמה טובה למציאות העסקית המורכבת של רוב הארגונים.
האתגר הוא בניהול תלויות, סנכרון, הרשאות, אבטחה ותיאום בין ספקים.
סוג נוסף הוא יישום BCDR מבוסס אתר חם.
במודל זה קיימת סביבת גיבוי פעילה או כמעט פעילה, שמסוגלת להיכנס לעבודה בתוך פרק זמן קצר מאוד.
זהו פתרון שמתאים לארגונים שבהם דקה של השבתה היא קריטית, כמו מוסדות פיננסיים, ארגוני בריאות, מערכות תעשייה רגישות, מוקדי שירות גדולים או חברות מסחר מקוון.
מודל דומה אך זול יותר הוא אתר חם חלקי או אתר פושר, שבו חלק מהתשתית זמינה מראש וחלק מופעל בעת הצורך.
יש גם מודל של אתר קר, שבו נשמרת תשתית בסיסית בלבד, והשחזור המלא אורך יותר זמן.
פתרון כזה מתאים יותר לארגונים שיכולים לסבול השבתה ארוכה יחסית, אך עדיין מבינים את החשיבות של התאוששות מסודרת.
מעבר להיבט התשתיתי, אפשר לחלק סוגי יישום BCDR גם לפי אופי השירות.
יש ארגונים שמנהלים הכול פנימית.
יש ארגונים שבוחרים ביישום מנוהל על ידי חברה חיצונית.
יש כאלה שמבצעים תכנון חיצוני אך תפעול פנימי.
ויש מי שמעדיפים מעטפת מלאה שכוללת אפיון, הקמה, ניטור, בדיקות, שדרוגים ותמיכה בזמן אמת.
הבחירה הנכונה אינה נמדדת רק במחיר.
היא נמדדת ביכולת של הארגון לעמוד ביעדי התאוששות אמיתיים בזמן משבר אמיתי.
מי צריך יישום BCDR
התשובה הקצרה היא שכמעט כל ארגון צריך יישום BCDR.
התשובה המדויקת יותר היא שכל עסק שתלוי במידע, במערכות מחשוב, בתקשורת, בשירות דיגיטלי או בתהליך תפעולי רציף, חייב לבחון ברצינות יישום BCDR המותאם לצרכים שלו.
עסקים קטנים נוטים לעיתים לחשוב שהנושא רלוונטי רק לחברות גדולות.
בפועל, דווקא עסק קטן עלול להיפגע באופן חמור יותר מהשבתה ממושכת, משום שאין לו עתודות משאבים, צוותים גדולים או יכולת לספוג אובדן פעילות לאורך זמן.
אם מרפאה פרטית מאבדת גישה לתיקי מטופלים, אם משרד עורכי דין לא מצליח להגיע למסמכים, אם חנות אונליין מושבתת ביום מכירות חזק, או אם חברה לוגיסטית אינה יכולה להפיק הזמנות, הנזק יכול להיות מיידי.
חברות בינוניות זקוקות ליישום BCDR משום שהן נמצאות לעיתים בנקודת ביניים מסוכנת.
מצד אחד, יש להן כבר מערכות רבות, עובדים רבים, תלות גבוהה בנתונים ולקוחות שדורשים רציפות.
מצד שני, לא תמיד יש להן מחלקת תשתיות גדולה או מומחי התאוששות מאסון במשרה מלאה.
במקרים כאלה, יישום נכון מייצר סדר, אחריות, נהלים ופתרון טכנולוגי שמונע חשיפה מיותרת.
ארגונים גדולים, מוסדות ציבוריים וחברות מרובות סניפים זקוקים ליישום BCDR ברמה גבוהה במיוחד.
ככל שהארגון מורכב יותר, כך גם הסיכון גדול יותר.
כשל נקודתי אחד במערכת מרכזית עלול להשפיע על אלפי משתמשים, מאות עובדים ומאות אלפי לקוחות.
מעבר לכך, ארגונים גדולים כפופים לעיתים לתקנות, ביקורות ודרישות רגולטוריות שאינן מאפשרות עבודה ללא תוכנית המשכיות והתאוששות מסודרת.
ישנם תחומים שבהם יישום BCDR הוא כמעט הכרח תפעולי.
ביניהם אפשר למצוא חברות פיננסיות, מוסדות בריאות, חברות ביטוח, גופים ממשלתיים, מפעלי ייצור, חברות תוכנה, מסחר אלקטרוני, מוקדי שירות, חברות נדל”ן גדולות, רשתות קמעונאות, מוסדות חינוך פרטיים וחברות מקצועיות שמנהלות מידע רגיש.
גם עסקים שעובדים עם לקוחות בחו”ל או מפעילים מערכות 24 שעות ביממה חייבים לשים את הנושא בראש סדר העדיפויות.
נקודה חשובה נוספת היא שהצורך ביישום BCDR לא נובע רק מאסונות גדולים.
ברוב המקרים, האיומים השכיחים הם דווקא יומיומיים יותר.
מחיקת קבצים בשוגג.
עדכון תוכנה שיצר תקלה.
כשל בדיסק.
נעילת מערכות בגלל כופרה.
נפילת תקשורת ממושכת.
השבתת עובדים בשל מצב חירום.
תלות בספק אחד ללא חלופה.
כל אלה הם תרחישים שמצדיקים יישום BCDR גם אם הארגון אינו רואה את עצמו כיעד למתקפה חריגה.
סטטיסטיקות מישראל בנושא יישום BCDR
הדיון על יישום BCDR בישראל הופך משמעותי יותר משנה לשנה, בעיקר לאור העלייה במספר מתקפות הסייבר, המעבר המואץ לענן, העבודה ההיברידית והצורך של ארגונים לשמור על רציפות גם בתקופות של אי ודאות ביטחונית, תפעולית וכלכלית.
בישראל פועלים אלפי ארגונים שמנהלים מידע קריטי, ובמקרים רבים רמת התלות בטכנולוגיה גבוהה מאוד.
חברות שירותים, מסחר, בריאות, תעשייה, לוגיסטיקה, הייטק ופיננסים פועלות בסביבה מהירה ומקושרת, ולכן כל השבתה מורגשת כמעט מיידית.
על פי מגמות שפורסמו בשנים האחרונות על ידי גופי סייבר, רגולציה, חברות מחקר וספקי תשתיות, שיעור הארגונים שחוו לפחות אירוע טכנולוגי משמעותי אחד בשנה נמצא במגמת עלייה.
בישראל, כמו בעולם, מתקפות כופרה ממשיכות להוות גורם מרכזי לצורך ביישום BCDR, משום שגם אם המידע מגובה, הארגון עדיין חייב לדעת כיצד להפעיל את מערכותיו מחדש בזמן קצר.
סקרים מקצועיים שנערכו בשוק הישראלי הראו כי ארגונים רבים מבינים את חשיבות הנושא, אך לא כולם מבצעים בדיקות שחזור בפועל בתדירות מספקת.
כלומר, קיימת מודעות, אך לא תמיד קיימת בשלות מלאה ביישום.
בפועל, אחת הבעיות הנפוצות בישראל היא פער בין קיום גיבוי לבין קיום תוכנית התאוששות אמיתית.
ארגונים רבים משקיעים במוצרי גיבוי, אך לא בהכרח מגדירים תרחישים, בעלי תפקידים, סדרי עדיפויות, תהליכי תקשורת בזמן אירוע או תרגול צוותים.
במילים אחרות, יש ציוד ותוכנה, אך אין תמיד יישום BCDR מלא.
במגזרי הבריאות והפיננסים בישראל ניתן לראות רמת מודעות גבוהה יחסית לנושא, בעיקר בשל רגישות המידע והפיקוח הרגולטורי.
גם במגזר התעשייתי נרשמת עלייה בהשקעה בפתרונות המשכיות, במיוחד במפעלים חכמים ובארגונים שבהם מערכות הייצור מחוברות לרשתות מידע.
בקרב עסקים קטנים ובינוניים, התמונה מורכבת יותר.
רבים מהם מכירים את הסיכון, אך דוחים את היישום בשל מגבלות תקציב או מתוך תחושה ש”לי זה לא יקרה”.
דווקא שם נדרש שינוי תפיסה.
בישראל של השנים האחרונות, מצבי חירום אזוריים, עבודה מרחוק, הפסקות תפעול נקודתיות ואיומי סייבר אינם אירוע נדיר.
הם חלק מהמציאות הניהולית.
לכן המגמה בשוק המקומי ברורה.
יותר ארגונים מחפשים פתרונות BCDR מנוהלים, מעבירים תשתיות לגיבוי בענן, דורשים רמות שירות ברורות מספקים חיצוניים ומבינים שיישום BCDR הוא נכס עסקי ולא הוצאה טכנית בלבד.
חשוב לומר בזהירות כי נתונים מספריים משתנים בין מחקר למחקר ובין ענף לענף, ולכן בעת קבלת החלטה מומלץ להישען על בדיקת סיכונים פרטנית לארגון עצמו ולא רק על ממוצעים מהשוק.
עם זאת, הכיוון הכללי בישראל חד מאוד.
הסיכון עולה, המודעות עולה, והצורך ביישום BCDR איכותי הופך להיות חלק מרכזי מתכנון ה-IT והניהול העסקי.
שירותי יישום BCDR של קורל טכנולוגיות
כאשר ארגון בוחן שירותי יישום BCDR, הוא לא מחפש רק ספק טכנולוגי.
הוא מחפש שותף מקצועי שמבין תהליכים עסקיים, יודע לזהות נקודות כשל, בונה תוכנית ישימה ומסוגל ללוות את הארגון משלב האפיון ועד לשלב התרגול והתחזוקה השוטפת.
שירותי יישום BCDR של קורל טכנולוגיות נועדו לתת מענה מלא ומדויק לצורך הזה.
התהליך מתחיל בדרך כלל במיפוי מעמיק של הסביבה הארגונית.
בשלב זה נבחנות המערכות הקריטיות, סוגי המידע, מבנה התשתית, רמת התלות בין מחלקות, סיכוני סייבר, רמת הגיבוי הקיימת, נקודות תורפה תפעוליות, תלות בספקים ויעדי ההתאוששות הרצויים.
המטרה היא לא להציע פתרון מדף אחיד, אלא לבנות מסגרת שמותאמת לאופי הפעילות של הלקוח.
לאחר שלב האפיון, קורל טכנולוגיות מסייעת בבניית אסטרטגיית יישום BCDR המתאימה לארגון.
אסטרטגיה זו כוללת קביעת סדרי עדיפויות לשחזור, תכנון סביבת גיבוי והתאוששות, בחירת מודל מקומי, ענני או היברידי, הגדרת נהלים תפעוליים, חלוקת תפקידים, הגדרת תרחישים ויצירת מסלול פעולה ברור לשעת חירום.
היתרון המשמעותי בעבודה עם גוף מקצועי הוא היכולת לחבר בין טכנולוגיה לפרקטיקה.
לא רק מה לגבות, אלא איך חוזרים לעבודה אמיתית.
קורל טכנולוגיות יכולה לספק מעטפת שמכסה את כל הרבדים של יישום BCDR.
החל מהקמת מנגנוני גיבוי ורפליקציה, דרך חיבור לתשתיות ענן, הגדרת הרשאות, ביצוע אוטומציות, ניטור רציף, תיעוד מלא של תהליכי ההתאוששות ועד ביצוע בדיקות שחזור ותרגילים יזומים.
נקודה קריטית במיוחד היא בדיקות.
שירות מקצועי אינו מסתפק בהתקנה חד פעמית.
הוא בודק שהפתרון אכן עובד, שהזמנים עומדים ביעדים, שהנתונים זמינים, שהצוות יודע לפעול ושאין תלות סמויה באדם אחד או במערכת אחת.
במקרה של שינוי תשתית, מעבר משרד, צמיחה עסקית, כניסה למערכות חדשות או שינוי רגולטורי, שירותי יישום BCDR צריכים להתעדכן בהתאם.
זהו תחום חי ודינמי.
קורל טכנולוגיות מציעה ליווי שמאפשר לארגון לשמור על מוכנות שוטפת ולא רק על מסמך תיאורטי שלא נבדק.
עבור לקוחות רבים, הערך המרכזי מגיע מהשקט הניהולי.
הידיעה שיש תוכנית ברורה, פתרון טכנולוגי מתאים, גורם מקצועי שמכיר את הסביבה העסקית ותמיכה בעת צורך, מפחיתה סיכון ומשפרת את היכולת של ההנהלה לקבל החלטות במהירות בזמן משבר.
במציאות שבה כל ארגון חשוף לאירועי סייבר, כשלי תשתית ותקלות בלתי צפויות, שירותי יישום BCDR של קורל טכנולוגיות יכולים להיות מרכיב מרכזי בשמירה על יציבות, אמינות ורציפות עסקית.
שאלות ותשובות בנושא יישום BCDR
אחת השאלות הנפוצות היא האם יישום BCDR מתאים רק לארגונים גדולים.
התשובה היא לא.
גם עסקים קטנים ובינוניים זקוקים לפתרון, לעיתים אף יותר, משום שהיכולת שלהם להתמודד עם השבתה ממושכת מוגבלת יותר.
השאלה החשובה אינה גודל הארגון, אלא רמת התלות שלו במידע ובמערכות.
שאלה נוספת היא האם גיבוי בענן מספיק בפני עצמו.
גם כאן התשובה היא לא.
גיבוי הוא רק רכיב אחד בתוך יישום BCDR.
נדרשים גם נהלי שחזור, הגדרת זמני התאוששות, חלוקת אחריות, תרגולים, פתרונות תקשורת חלופיים ותוכנית מסודרת להמשך פעילות.
שואלים גם כמה זמן לוקח לבצע יישום BCDR.
זה תלוי במורכבות הארגון.
בארגון קטן יחסית ניתן לבצע תהליך מהיר יותר.
בארגון גדול, מרובה מערכות וספקים, התהליך עשוי להימשך זמן רב יותר ולכלול מספר שלבים.
העיקר הוא להתחיל בצורה מסודרת, ולא לחכות לאירוע שיכפה תגובה לחוצה.
שאלה מרכזית אחרת היא האם חייבים אתר גיבוי פיזי.
לא תמיד.
כיום יש לא מעט פתרונות ענן והיברידיים שמספקים מענה איכותי.
הבחירה תלויה בדרישות הזמינות, ברגולציה, בתקציב ובמבנה התשתיות של הארגון.
יש מי שתוהים האם יישום BCDR קשור גם לאבטחת מידע.
בהחלט כן.
אמנם מדובר בתחום שונה, אך קיימת חפיפה משמעותית.
מתקפות סייבר הן אחת הסיבות המרכזיות לצורך בהתאוששות מהירה, ולכן יישום BCDR חייב להשתלב עם מדיניות אבטחת מידע, ניהול הרשאות, הגנה על זהויות, ניטור ואיתור איומים.
שאלה נפוצה נוספת היא כל כמה זמן צריך לבדוק את התוכנית.
ההמלצה היא לבצע בדיקות ותרגולים באופן קבוע, לפחות אחת לתקופה מוגדרת, ובוודאי לאחר שינויים משמעותיים בתשתית, בכוח האדם או במערכות העסקיות.
תוכנית שלא נבדקת היא תוכנית שלא באמת ניתן לסמוך עליה.
מנהלים שואלים גם כיצד מחשבים את העלות של יישום BCDR.
הדרך הנכונה היא לא רק לבחון את עלות ההקמה, אלא להשוות אותה לעלות של השבתה, אובדן מידע, פגיעה במוניטין, הפרת התחייבויות ללקוחות ונזק תפעולי.
במקרים רבים, ההשקעה ביישום BCDR נמוכה משמעותית מהנזק שעלול להיגרם באירוע אחד.
עוד שאלה חשובה היא מי צריך להיות מעורב בתהליך.
לא רק אנשי IT.
נדרש שיתוף פעולה בין הנהלה, תפעול, כספים, משאבי אנוש, שירות לקוחות, אבטחת מידע ולעיתים גם יועצים וספקים חיצוניים.
רק כך ניתן לבנות תוכנית שמשקפת את המציאות הארגונית ולא רק את שכבת השרתים.
ולבסוף, רבים שואלים מתי הזמן הנכון להתחיל.
התשובה הברורה היא עכשיו.
יישום BCDR הוא לא פרויקט שמחכים איתו לרגע מושלם.
הוא מהלך אסטרטגי שמפחית סיכון, מחזק את הארגון ונותן לו יכולת התאוששות אמיתית כאשר משהו משתבש.
מחפש יישום BCDR? פנה עכשיו!
