אסטרטגיות התאוששות

בהתבסס על ניתוח הסיכונים ודרכי צמצומם כמתואר בשלבים הקודמים, יש לדעת מה עושים כאשר מתרחש אירוע או מקרה "על אמת". כיוון שידוע שלא קיים דבר המאובטח ב-100%, ישנה דרישה לפיתוח אסטרטגיות התאוששות. השאלה המתבקשת – מתי? והאם הארגון ערוך לאירועים כאלה.

• עזרה מגורם חיצוני תהיה בד"כ נחוצה.
• קודם כל היענות – ורק אח"כ פעולות התאוששות ושחזור.
• תכנון התאוששות מאסון (Disaster recovery planning – DRP )
• נהלים והליכים בדבר טיפול בעת אסון.

לאחר סיום ניתוח והערכת ההשפעות (BIA), הארגון יהיה מודע להשלכות הנוצרות כתוצאה מאובדן, ולכן הוא יהיה מסוגל לתכנן מענה הולם. החלק המהנה (וגם מתסכל) בתכנון אסטרטגית התאוששות – הוא פתירת בעיות שעדיין אינן קיימות.
צורך חיוני בהכנת תוכנית התאוששות הוא בניית אסטרטגיות המכסות את רוב, אם לא את כל – הפרעות לפעילות העסקית של הארגון. בנייה של אסטרטגיות כאלו יכולות להיות מאתגר ובמקרים מסוימים – אף בלתי אפשרי. לרוב, ארגונים יידרשו לשתף פעולה עם גורמים חיצוניים – כגון, יועצים, חברות ייעוץ ואסטרטגיה וגורמים נוספים בדבר אסטרטגיית התאוששות.

הבהלה וההיסטריה (והסוף-סוף התייחסות) מגורמי ההנהלה, יגיעו לאחר סיום הליך ה-BIA. השוו את העלויות הנדרשות כדי להשיג רמת התאוששות רצויה – לעלויות הצפויות בעת כישלון\אי התאוששות. יחס עלות-תועלת יביא להתייחסות ראויה של הדרג הניהולי – ובד"כ לאישור המשך תוכנית ההמשכיות. לדוגמא, עלות התאוששות של נכס השייך לארגון הינה כ-מיליון ש"ח – אבל עם זאת, הארגון צפוי להפסיד כ-מליון ש"ח ביום אם הנכס לא יתאושש\ישוחזר בזמן. נכון, הערכה כמותית יכולה להיות מסובכת ובעיתית – אבל זו הסיבה שניתוח והערכת השלכות\השפעות לארגון (BIA) מיוחס כהליך מאוד חשוב לארגון: BIA מעניק לארגון סוג של כלי-מדידה.
חשוב לזכור:

• השתמשו בהליכי הערכת השפעות לארגון (BIA).
• דרישות מינימליות:
• זיהוי וקביעת השטח הדרוש.
• זיהוי וקביעת הציוד הדרוש.
• החל לתכנן מבעוד-מועד הליכי המשכיות.
• בלי גיבוי – אין שחזור.

כל אסטרטגיות התאוששות\הבראה\שחזור – מונעות ומונחות ע"י זמן השבתה מירבי של משאב\נכס\פעילות עסקית הדרושים לתפעול שותף של הארגון.

אסטרטגיות התאוששות – סוגי גישה

• בלי אסטרטגיה כלל.
• שירות עצמי – בעת אירוע, הליך ההתאוששות ייעשה בארגון עצמו. משרדים, חדרי ישיבות, חדר אוכל ואף בתי העובדים – יצוידו בציוד שישמש כציוד חלופי\זמני עד לטיפול האירוע. בהתחשב בהיקף האירוע, אסטרטגיה זו עשויה להתקבל.
• הסכמי-הדדיות – הסכם הדדי כרוך בקביעת הסדרים עם ארגונים (אולי אף מתחרים) נוספים – שצריכיהם העסקיים דומים לארגון שלך. יש להיזהר מניגוד עניינים (ע"פ החוק, כמובן) עם ארגונים הפועלים באותו התחום.
  בעת יצירת הסכם הדדיות שכזו, כל חברה או ארגון יסכימו לעזור לצד השני במקרים של הפרעות\שיבושים\אירועים.
• אתרים חלופיים – קיימים לא מעט עסקים המציעים סוגים שונים של אתרים חלופיים. חלקם יציעו מבנים ריקים, חלקם מבנים שמוכנים לעבודה; 
• אתר חם – כולל בתוכו מתקנים המיואשים והמצוידים באופן מלא בכל שעות היממה – 7\24 . מיועד לארגונים הסובלים מאירוע חמור מאוד – ובד"כ הרס פיזי של הציוד. אתר חם מכוון לתהליכים ארגוניים קריטיים מאוד שהשבתתם אסורה והרת אסון.
• אתר פושר – לפעמים נקרא גם הוא אתר חם אך הוא בעיקר מצויד מראש אבל לא בהכרח מעניק התאוששות\שחזור מיידי. תהליכים ארגוניים שיכולים להיות מושבתים לכמה שעות – אידיאלים לאתר כזה. עם זאת, הארגון דרוש לבחון ולחקור באופן מקיף על מה הם משלמים ומה הם מקבלים בתמורה.
• אתר קר – אתר קר הוא אתר\מתקן\מתחם ריק. הארגון אחראי לצייד אותו במקרה של אירועים. סוג זה של אתר, נחשב לפשוט ביותר וישנה מחלוקת לאחריות הארגון בעת אירוע – שכן, הצלחת ההתואששות\שחזור תלויה בהיקף האירוע.
• אתר היברידי – כשמו הוא. שילוב של מספר אתרים ע"מ להעניק גמישות מרבית בעת אירוע. לדוגמא, התאוששות מאירוע\אסון ממוצע – נע בין שבוע ל-10 ימים. לעומת זאת, בעת אירוע הרה אסון (טבע וכו.) – זמן ההתאוששות עלול לקחת כחצי שנה. שילוב של אתר חם עם אתר קר, מאפשר להעביר במידה מתונה את ציוד ומשאבי האתר החם לאתר הקר, וזאת לפני שחוזה האתר החם – יפוג.
• אתר נייד – אתר נייד מאופיין ביכולות דומות לאתר חם – אבל שונה. תלוי בסוג האירוע\הפרעה, אתר נייד מכונה "משרדים על גלגלים". האתר קרוב גיאוגרפית למיקום הארגון ובעת אירוע, אין צורך בנסיעות מרובות ולעתים רחוקות של עובדי הארגון. בפן הריאליסטי, אתר כזה מסוגל לתת מענה הולם תוך 12 עד 72 שעות, בהתאם לקרבת האתר. באופן ברור, ככל שהאתר קרוב יותר לארגון – זמן המענה של האתר יתקצר.

ניתוח סיכונים והשפעות לעסק או לארגון (BIA)

ניתוח סיכונים והקטנתם הינו צעד קריטי בתהליך ההמשכיות העסקית של הארגון, זאת משום שהבנה והבחנה של איומים וסביבותיהם – משפיעות באופן ישיר על אסטרטגית ההתאוששות.

אז מה לשאול את עצמך?

• מהם (או מי הם) האיומים המיוחסים לארגון?
• איך תפעל ע"מ להגן על המידע?
• מהם התהליכים והמערכות הקריטיים לארגון?

ניתוח סיכונים

ניתוח סיכונים כחלק מיצירת תוכנית המשכיות עסקית מורכב מהצעדים הבאים:

• זיהוי והגדרה של תהליכים ומערכות קריטיים לארגון.
• זיהוי והגדרה של איומים ספציפיים כנגד הארגון – לשים דגש על איומים לתהליכים ומערכות קריטיים לארגון.
• הערכה של רמת החשיפה והיתכנותה.
• קביעת צעדים ופעולות להגנת משאבי המידע.
• קביעת יחס עלות-תועלת; מהי עלות הנכס לארגון ומהי עלות ההגנה על נכס זה?

לאחר זיהוי והבנת הסיכון(כלומר, ניתוחו), יש לבחור אחת מ-4 גישות:

• הימנעות: במקרה זה, הוחלט כי הסיכון לא יכלל בתוכנית ההמשכיות.
• קבלת הסיכון: במקרה זה, ידוע על סיכון ועל היתכנותו אך הוחלט לקבלו (צוות ההמשכיות משליך את האחריות לגורמים אחרים בארגון, או מניח כי אין הוא אחראי).
• העברת הסיכון: העברת האחריות לגורם אחר, למשל חברת הביטוח.
• הקטנת הסיכון: הצוות מיישם בקרות מתאימות לצמצום השפעות הסיכון – כלומר הקטנתם.

ניתוח השלכות והשפעות לארגון (BIA)

מטרות מרכזיות:

• קביעת רמות השפעה\השלכה מתאימים למערכת.
• כמה זמן המערכות יכולות להיות בדרגת סיכון(כזו או אחרת)?
• מהו הזמן המירבי המקובל בו המערכת תהיה לא-פעילה\זמינה?
• הערכת השפעות והשלכות לאחר האסון\פגיעה – לאחר תקופה מוגדרת.

לאחר ניתוח הסיכונים במסגרת התכנית להמשכיות עסקית, יש לבצע ניתוח על ההשלכות וההשפעות של אותם גורמי סיכון לארגון (מאנגלית, Business Impact Analysis – BIA) . במסגרת התהליך, תקבע רמת ההשפעה על המערכות וכן, האם אותה מערכת יכולה להתמודד עם השפעה שכזאת ללא נזקים משמעותיים לארגון.
במהלך פיתוח ה-BIA, יתקיימו ביקורות למערכות שונות וכן ראיונות\תשאולים לאנשי מפתח המפעילים את המערכות – זאת כדי להבין איך אסון או פגיעה יוכלו להשפיע על יכולת הארגון לפעילות עסקית שותפת.

התשאול יכול להכיל את השאלות הבאות:

• איך ישפיע כשל בתחום טכנולוגית המידע (IT) על תזרים הכספים בארגון?
• בעת אסון\פגיעה, מהן ההשלכות לרמת השירות של הארגון?
• מהו זמן ההשבתה המקסימלי, שלאחריו יהיו השפעות על פעילות הארגון?
• מה צפי הנזק (הכספי, תדמיתי...) עת איבוד נתונים שלא ניתן לשחזרם?
• אילו משאבים קריטיים דרושים להמשך פעילות עסקית של הארגון?

התשובות לתשאול יגיעו מהדרג הניהולי-בכיר או באישורו.

זמן השבתה מירבי (MTTR)

• סך כמות הזמן בה תהליך(שירות, פעילות) יהיה מושבת לפני שייגרם נזק כספי משמעותי.
• מגדיר מתי "אין דרך חזרה" .
• חלק בלתי נפרד מתהליך ה-BIA.
• (לעתים קרובות) עוזר להגדיר דרישות למשאב כזה או אחר. 

בד"כ , הדרג הניהולי-בכיר יקבע את תקציב תוכנית ההתאוששות במקשה אחת עם תוכנית ההמשכיות. יש לזכור כי הצרכים העסקיים של הארגון הם המניע של התקציב, לא ההפך.
אז... אילו השלכות פיננסיות לקחת בחשבון? הנה כמה נק':

• עד כמה רווחיות החברה תפגע – אם וכאשר לא יהיה ניתן לקבל הזמנות(למשל)?
• מהי העלות של אובדן תפוקה כזה או אחר?
• במקרה של אבידה\גניבה\השחתה של סחורה\ציוד – כמה יעלה לשחזרם?
• האם אנשי ה-IT בארגון - יעלים דיו עת טיפול בבעיה?
• אילו קנסות או עלויות על הארגון לשלם(חוק, רגולציות, הוראות וכו...)?
• כמה תעלה פעילות יח"צ ע"מ למזער ככל הניתן את הנזקים לתמיד הארגון?
• האם הארגון מסוגל להתמודד בסוגיות בתחום המשפטי, בריאותי, בטיחותי?
• האם תוכל להבטיח ביצוע פעולות 7\24 ללא כל השבתה? האם קיימים משאבים טכניים וכח אדם מספיק? אם לא, מה תהיה העדפה שלך?

הערכת פגיעויות – Vulnerabilities Assessment

• פחות מקיף מסקר הערכת סיכונים מלא.
• מזהה תהליכים קריטיים לעסק.
• ממצאי הדוח יהוו בסיס לתכנון תוכנית התאוששות.

הערכת פגיעויות היא בד"כ חלק אינטגרלי מתוכנית הערכת ההשפעות וההשלכות לארגון.
תפקיד הערכת הפגיעויות הוא לספק קלט של נתונים ומידע לתוכנית התאוששות ולקבוע את ההשפעה\השלכה של אובדן הליך או פעילות הקריטיים לפעילות הארגון. איבוד תדמית או מבוכה ציבורית נחשב גם הוא לנזק קריטי בארגונים רבים.

הערכת פגיעויות תעריך באופן כמותי עלויות פיננסיות בעת התרחשות אירוע. אם הארגון מחפש מספרים – פה הוא ימצא אותם.

יסודות תכנון תוכנית להמשכיות עסקית

עוד לפני הכל... יש להבין כי תכנון ויישום תוכנית המשכיות עסקית (BCP) הינו פרויקט לכל דבר.
תוכנית כזו מכילה סוגיות רבות, לרבות תוכנית להתאוששות מאסון (DRP) וניתוח השפעות לעסק (BIA).
בנוסף, יישום תוכנית כזו היא מחזורית. יש לתחזק ולעדכן אותה בקביעות.
בפוסט זה אתאר את השלבים המקדימים לתכנון ויישום תוכנית המשכיות עסקית.

תמונת מצב: ארגון גדול פונה אלייך - ה-CISO, ומבקש ממך לתכנן וליישם תוכנית המשכיות עסקית.
שאר הפוסטים מונחים ע"י אותה תמונת המצב.
   
השמת מנהל הפרויקט 

• המנהל יתאפיין בכושר מנהיגות טובה.
• המנהל ישלוט בתהליכי ניהול עסקים (רלוונטים לפרויקט).
• יהיה בעל נסיון בעולם התקשורת ובניהול אבטחת מידע.
• יהיה בעל ידע מוכח בניהול פרויקטים.
• תפקידיו;
• בניית תקציב הפרויקט; להתוות עלויות הפרויקט לעסק. הנ"ל יכלול עלויות של כח אדם, כלים לתכנון הפרויקט, ציוד, יועצים חיצוניים והדרכות רלוונטיות.
• יספק דוחות חודשיים בדבר הפרויקט, לרבות תיאור הפעילויות, קשיים שהתגלו, עמידה בזמנים ותהליכים משמעותיים שבוצעו.

אישור ותמיכת הדרג הניהולי 

• הדרג הניהולי יספק משאבים קריטיים.
• תמיכה, עזרה ואישור היקף הפרויקט.
• קבלת אישור סופי לתוכנית ההמשכיות העסקית ונגזרותיה.

 הרכבת צוות עבודה (ציוות)

• ההצלחה של תוכנית ההמשכיות העסקית תלויה ביכולת הצוות ליצור, לתכנן ולבסוף ליישם את תוכנית ההמשכיות העסקית – בהתאם לאופי הארגון. בנוסף, לעובדי החברה אינטרס להמשכיות עסקית תקינה (שכן, שכרם תלוי בתוכנית שכזו). לכן, מומלץ לכלול עובדים מכל המחלקות הפועלות בארגון:
• מנהלי מחלקות\חטיבות.
• עובדי אבטחת מידע ו-IT .
• משאבי אנוש.
• מנהלי תפעול (ציוד, מבנים וכו.).
• בתהליך בחירת הצוות – מנהל הפרויקט לא יפסול לבדו מועמדים, אך יהיה מודע על אופן תהליך הציוות כך שיתאימו לביצוע הפרויקט אותו הוא מנהל.
• הציוות יחולק ל-3 קטגוריות:
•  צוות ניהול בכיר: סמנכ"לים, מנהלי חטיבות, מנהלי מחלקות – יהיו אחראיים לשחזור וחזל"ש (חזרה לשגרה) של הליכים קריטיים לארגון.
• צוות ניהול: עובדי שליטה ובקרה - האחראיים לניהול, תפעול והנחיה של הליכי השחזור.
• צוות היענות: עובדים האחראיים לביצוע הליך או תהליך השחזור. בד"כ מנהל הפרויקט יצוות צוות היענות בנפרד לכל תהליך עסקי המוגדר קריטי.

קביעת היקף הפרויקט

• מה תכלול התוכנית להמשכיות עסקית?
• באיזה אופן, או איך לאסוף מידע?
• אילו משאבים דרושים?
• מהו המבנה הניהולי (היררכי) של צוות ההמשכיות?
• האם להתחיל מלמעלה-למטה או ההיפך?
• קווים מנחים:
• כשהארגון גדל ומתרחב – ישנה השפעה לינארית על תוכנית ההמשכיות העסקית. יש צורך בפירוט נרחב של משאבי הארגון והעבודה הנדרשת כדי לבנות תוכנית המשכיות יעילה. פירוט הוא "שם המשחק";  יש למפות את הארגון – יותר פרטים – יותר יעילות ויותר סיכויי הצלחה.
• יש לבחון מקרוב את פעילות הארגון, להגדירה ולתארה כמה שאפשר;
• מי מקבל תשלום – ומתי?
• מי הם הספקים איתם הארגון עובד?
• מי הם הלקוחות?
• איך הארגון מתופעל?
• כמה משרדים הארגון מחזיק? והיכן הם ממוקמים?
• כמה עובדים קיימים בארגון?
• מיהו הגוף המבטח את הארגון?
• במי הארגון תלוי בדבר משאבים בסיסיים כגון חשמל, מים, נייר.
• כאמור, יש למפות את הארגון כך שנכסי\משאבי הארגון יהיו ידועים לך. אם לא תדע מה קיים בארגון, התיחסותך לגורמים קריטיים בתוכנית ההמשכיות יהיו לא יעילים ו\או רלוונטיים.
• תעד את מבנה הניהול של צוות ההמשכיות. האם המבנה יהיה שטחי (כלומר, כל עובד כפוף למנהל של אותה מחלקה)? או שהמבנה יהיה היררכי (מידע ותהליכים יבוצעו ע"פ שרשרת ניהולית שנקבעה מראש) ?
• מבנה ניהולי בגישת מעלה-מטה הוא המומלץ ביצירת תוכנית המשכיות. החל מהדרג הניהולי הבכיר, צוות ההמשכיות יראיין כל מנהלי מחלקה, מנהלי תפעול ועובדים מן המניין – וזאת כדי לאפשר אבחנה מפרספקטיבות שונות.

 הגדרת יעדים ותוצרים

• יעד: יצירת תוכנית המשכיות עסקית.
• הפקת תוכנית שכזו תאפשר לארגון להתאושש במהירות מהפרעות המשבשות את הפעילות השותפת של הארגון.
• תוצרים:
• ניתוח סיכונים והשפעות.
• צעדים להתאוששות באסון.
• תוכנית בידוק.
• תוכנית הדרכה ומודעות.
• הליכים ופעולות לשימור התוכנית ועדכנותה.