ניתוח סיכונים והקטנתם הינו צעד קריטי בתהליך ההמשכיות העסקית של הארגון, זאת משום שהבנה והבחנה של איומים וסביבותיהם – משפיעות באופן ישיר על אסטרטגית ההתאוששות.
אז מה לשאול את עצמך?
לאחר זיהוי והבנת הסיכון(כלומר, ניתוחו), יש לבחור אחת מ-4 גישות:
לאחר ניתוח הסיכונים במסגרת התכנית להמשכיות עסקית, יש לבצע ניתוח על ההשלכות וההשפעות של אותם גורמי סיכון לארגון (מאנגלית, Business Impact Analysis – BIA) . במסגרת התהליך, תקבע רמת ההשפעה על המערכות וכן, האם אותה מערכת יכולה להתמודד עם השפעה שכזאת ללא נזקים משמעותיים לארגון.
במהלך פיתוח ה-BIA, יתקיימו ביקורות למערכות שונות וכן ראיונות\תשאולים לאנשי מפתח המפעילים את המערכות – זאת כדי להבין איך אסון או פגיעה יוכלו להשפיע על יכולת הארגון לפעילות עסקית שותפת.
התשאול יכול להכיל את השאלות הבאות:
בד"כ , הדרג הניהולי-בכיר יקבע את תקציב תוכנית ההתאוששות במקשה אחת עם תוכנית ההמשכיות. יש לזכור כי הצרכים העסקיים של הארגון הם המניע של התקציב, לא ההפך.
אז... אילו השלכות פיננסיות לקחת בחשבון? הנה כמה נק':
תפקיד הערכת הפגיעויות הוא לספק קלט של נתונים ומידע לתוכנית התאוששות ולקבוע את ההשפעה\השלכה של אובדן הליך או פעילות הקריטיים לפעילות הארגון. איבוד תדמית או מבוכה ציבורית נחשב גם הוא לנזק קריטי בארגונים רבים.
הערכת פגיעויות תעריך באופן כמותי עלויות פיננסיות בעת התרחשות אירוע. אם הארגון מחפש מספרים – פה הוא ימצא אותם.
המטרה העיקרית בביצוע הערכה כזו, היא לקבוע את זמן ההשבתה המירבי לכל מערכת. מסגרות הזמן מתחלקות לכמה קטגוריות:
אז מה לשאול את עצמך?
- מהם (או מי הם) האיומים המיוחסים לארגון?
- איך תפעל ע"מ להגן על המידע?
- מהם התהליכים והמערכות הקריטיים לארגון?
ניתוח סיכונים
ניתוח סיכונים כחלק מיצירת תוכנית המשכיות עסקית מורכב מהצעדים הבאים:
- זיהוי והגדרה של תהליכים ומערכות קריטיים לארגון.
- זיהוי והגדרה של איומים ספציפיים כנגד הארגון – לשים דגש על איומים לתהליכים ומערכות קריטיים לארגון.
- הערכה של רמת החשיפה והיתכנותה.
- קביעת צעדים ופעולות להגנת משאבי המידע.
- קביעת יחס עלות-תועלת; מהי עלות הנכס לארגון ומהי עלות ההגנה על נכס זה?
לאחר זיהוי והבנת הסיכון(כלומר, ניתוחו), יש לבחור אחת מ-4 גישות:
- הימנעות: במקרה זה, הוחלט כי הסיכון לא יכלל בתוכנית ההמשכיות.
- קבלת הסיכון: במקרה זה, ידוע על סיכון ועל היתכנותו אך הוחלט לקבלו (צוות ההמשכיות משליך את האחריות לגורמים אחרים בארגון, או מניח כי אין הוא אחראי).
- העברת הסיכון: העברת האחריות לגורם אחר, למשל חברת הביטוח.
- הקטנת הסיכון: הצוות מיישם בקרות מתאימות לצמצום השפעות הסיכון – כלומר הקטנתם.
ניתוח השלכות והשפעות לארגון (BIA)
מטרות מרכזיות:
- קביעת רמות השפעה\השלכה מתאימים למערכת.
- כמה זמן המערכות יכולות להיות בדרגת סיכון(כזו או אחרת)?
- מהו הזמן המירבי המקובל בו המערכת תהיה לא-פעילה\זמינה?
- הערכת השפעות והשלכות לאחר האסון\פגיעה – לאחר תקופה מוגדרת.
לאחר ניתוח הסיכונים במסגרת התכנית להמשכיות עסקית, יש לבצע ניתוח על ההשלכות וההשפעות של אותם גורמי סיכון לארגון (מאנגלית, Business Impact Analysis – BIA) . במסגרת התהליך, תקבע רמת ההשפעה על המערכות וכן, האם אותה מערכת יכולה להתמודד עם השפעה שכזאת ללא נזקים משמעותיים לארגון.
במהלך פיתוח ה-BIA, יתקיימו ביקורות למערכות שונות וכן ראיונות\תשאולים לאנשי מפתח המפעילים את המערכות – זאת כדי להבין איך אסון או פגיעה יוכלו להשפיע על יכולת הארגון לפעילות עסקית שותפת.
התשאול יכול להכיל את השאלות הבאות:
- איך ישפיע כשל בתחום טכנולוגית המידע (IT) על תזרים הכספים בארגון?
- בעת אסון\פגיעה, מהן ההשלכות לרמת השירות של הארגון?
- מהו זמן ההשבתה המקסימלי, שלאחריו יהיו השפעות על פעילות הארגון?
- מה צפי הנזק (הכספי, תדמיתי...) עת איבוד נתונים שלא ניתן לשחזרם?
- אילו משאבים קריטיים דרושים להמשך פעילות עסקית של הארגון?
זמן השבתה מירבי (MTTR)
- סך כמות הזמן בה תהליך(שירות, פעילות) יהיה מושבת לפני שייגרם נזק כספי משמעותי.
- מגדיר מתי "אין דרך חזרה" .
- חלק בלתי נפרד מתהליך ה-BIA.
- (לעתים קרובות) עוזר להגדיר דרישות למשאב כזה או אחר.
בד"כ , הדרג הניהולי-בכיר יקבע את תקציב תוכנית ההתאוששות במקשה אחת עם תוכנית ההמשכיות. יש לזכור כי הצרכים העסקיים של הארגון הם המניע של התקציב, לא ההפך.
אז... אילו השלכות פיננסיות לקחת בחשבון? הנה כמה נק':
- עד כמה רווחיות החברה תפגע – אם וכאשר לא יהיה ניתן לקבל הזמנות(למשל)?
- מהי העלות של אובדן תפוקה כזה או אחר?
- במקרה של אבידה\גניבה\השחתה של סחורה\ציוד – כמה יעלה לשחזרם?
- האם אנשי ה-IT בארגון - יעלים דיו עת טיפול בבעיה?
- אילו קנסות או עלויות על הארגון לשלם(חוק, רגולציות, הוראות וכו...)?
- כמה תעלה פעילות יח"צ ע"מ למזער ככל הניתן את הנזקים לתמיד הארגון?
- האם הארגון מסוגל להתמודד בסוגיות בתחום המשפטי, בריאותי, בטיחותי?
- האם תוכל להבטיח ביצוע פעולות 7\24 ללא כל השבתה? האם קיימים משאבים טכניים וכח אדם מספיק? אם לא, מה תהיה העדפה שלך?
הערכת פגיעויות – Vulnerabilities Assessment
- פחות מקיף מסקר הערכת סיכונים מלא.
- מזהה תהליכים קריטיים לעסק.
- ממצאי הדוח יהוו בסיס לתכנון תוכנית התאוששות.
תפקיד הערכת הפגיעויות הוא לספק קלט של נתונים ומידע לתוכנית התאוששות ולקבוע את ההשפעה\השלכה של אובדן הליך או פעילות הקריטיים לפעילות הארגון. איבוד תדמית או מבוכה ציבורית נחשב גם הוא לנזק קריטי בארגונים רבים.
הערכת פגיעויות תעריך באופן כמותי עלויות פיננסיות בעת התרחשות אירוע. אם הארגון מחפש מספרים – פה הוא ימצא אותם.
הערכת השלכות עסקיות – Business Impact assessment
- תיעדוף פעולות ופעילויות הארגון.
- מעריך את זמן ההתאוששות.
- קובע דרישות לרכישת\הטמעת משאבים נחוצים למזעור השפעות לעסקי הארגון.
המטרה העיקרית בביצוע הערכה כזו, היא לקבוע את זמן ההשבתה המירבי לכל מערכת. מסגרות הזמן מתחלקות לכמה קטגוריות:
- שיחזור מידי: ההשבתה לא מקובלת. יש ליישם אתר (מקום) חלופי מלא – מיואש ומצויד.
- שיחזור מהיר: השבתה של 4 שעות לכל היותר. יש ליישם אתר חלופי מצויד ולא מיואש – וזו בתנאי שזמן ייאוש האתר לא יעלה על 4 שעות.
- שיחזור באותו-היום: יש להעביר ולשנע ציוד לאתר חלופי תוך 8 שעות. הכוונה ליום עסקים, לא יממה.
- שיחזור תוך 24 שעות: ככתוב, במסגרת זמן של יממה.
- שיחזור תוך 72 שעות: ככתוב.
- שיחזור תוך יותר מ-72 שעות: ככתוב.
