אסונות IT יכולים להתרחש בכל רגע ולשבש את הפעילות העסקית. במיוחד במדינה שלנו, החשופה למפגעים שונים, כולל מאויבים מבחוץ, כל עסק וארגון חייב לוודא כי הם מחזיקים מערך גיבוי ותוכנית התאוששות מאסון. פגיעה במערכות עלולה להוביל לאובדן נתונים ולהשבתת הפעילות, בין אם באופן מינימלי ובין אם באופן משמעותי, ואף לגרום לנזק בלתי הפיך.
יצירת תוכנית מסודרת, בחינה תקופתית ועדכון בהתאם לצורך, הם מרכיבים קריטיים בהתמודדות עם איומים שונים. מטרת המאמר היא להעלות את המודעות, לפרט את המרכיבים החיוניים להתאוששות מאסון, ולהציע אסטרטגיה לפיתוח מערך חזק ויעיל.
מהי תוכנית התאוששות מאסון
תוכנית התאוששות מאסון מערכות היא אוסף של אסטרטגיות, נהלים ופרוטוקולים המסייעים לארגון לשקם את תשתית ה-IT לאחר פגיעה. מטרתה העיקרית היא להבטיח את שיקום השירותים הקריטיים, לשחזר נתונים במהירות ולהחזיר את הפעילות לשגרה. אסונות אלה עשויים לכלול מתקפות סייבר, כשלי חומרה, טעויות אנוש, אסונות טבע ואף מתקפות פיזיות.
זוהי הדרך להבטיח את מזעור זמן ההשבתה, להפחית סיכונים, להגן על שלמות הנתונים ולהבטיח שהארגון ימשיך לעבוד. אין צורך לפחד מאסון אך בו זמנית יש לזכור כי מערך טוב ומותאם לתגובה מהירה בעת הצורך יכולה להבדיל בין המשך פעילות לבין פגיעה משמעותית בפעילות ואפילו השבתה מלאה.
בניית מערך גיבוי מתוך הבנת הצרכים והאיומים
תוכנית התאוששות מאסון צריכה להיות מקיפה ולהביא בחשבון את כל הסיכונים, ההשפעות העסקיות, גורמי המפתח בארגון ואמצעי התקשורת. תוכנית נכונה תיתן מענה למקרי מתקפות סייבר זדוניות, כשלים בחומרה, שגיאות תוכנה, טעויות אנוש, אסונות טבע וכן שעת מלחמה.
הערכת סיכונים
הפעולה הראשונה שיש לעשות היא להבין את הסיכונים השונים וליצור סדר עדיפויות למאמצי ההתאוששות. ההמלצה היא להתייעץ עם יועץ מחשוב וזאת כדי לזהות באופן מקצועי את האיומים והפגיעות הפוטנציאליות במערכות ה-IT ובתשתיות.
הערכה נכונה של הסיכונים תביא בחשבון את סביבת העבודה המקומית, מרכזי הנתונים, אופי הפעילות ותיצור תמונה מקיפה של תרחישי אסון פוטנציאליים. מעבר לזיהוי האיומים, יש להתייחס גם לפגיעות אשר לא ניתן לחזות כמו אסונות טבע ומלחמה ולהקצות משאבים מתאימים להתמודד עם כל אלה.
ניתוח השפעה על הארגון
כחלק מהמערך, יש לנתח את ההשפעה של כל פגיעה על מערכות ה-IT, החומרה והארגון כולו. בהתאם ניתן לקבוע את סדר העדיפויות מבחינת תהליך ההתאוששות. יצירת סדרי עדיפויות עוזרת לקבל החלטות בנוגע להקצאת המשאבים, הכלכליים והאנושיים, בצורה היעילה ביותר.
על הארגון להביא בחשבון כי במקרה של פגיעה, ההתאוששות יכולה להיות תהליך ולכן יעדים המגדירים את נקודת ההתאוששות והזמן הנדרש, חשובים. כמובן, חשוב שהארגון ידע ויבין מה כולל התהליך, יוכל להעריך את עלויות ההשבתה ולפעול במהירות בשעת חירום.
בניית תוכנית המשכיות
תוכנית המשכיות תכלול פיתוח אסטרטגיות להבטחת פעולה רציפה של כל המרכיבים העסקיים הקריטיים במהלך ולאחר האסון. יש לכלול הצעות לתהליכים חלופיים, הקצאת משאבים ונהלי התאוששות במטרה לשמור על רצף פעילות ככל האפשר.
תוכנית המשכיות תכלול מרכיבים שונים כולל: תהליכים חלופיים, הקצאת משאבים, נהלי שחזור מידע ויצירת מרחב פעילות בעת הצורך. לעתים יהיה צורך לפעול לאחר מתקפת סייבר, פגיעות בתוכנה, בחומרה ובמקרי חירום של פגיעה במבנה הפיזי של הארגון.
גיבוי ושחזור נתונים
חלק מהותי מבניית מערך גיבוי והתאוששות מאסון הוא יצירת נהלים. המטרה היא שהעסק יגבה את הנתונים באופן עקבי כך שניתן יהיה לשחזר אותם מהר ככל האפשר ובכך להבטיח הגנה על המידע בכל רגע נתון ומול כל איום.
מערכות המידע קריטיות בכל הקשור להגנת נתונים. הן מספקות את התשתית והכלים הדרושים לניהול, תקשורת ותפעול במהלך ולאחר אסון. הפעילות הארגונית צריכה לכלול תהליכי גיבוי אוטומטיים, ניטור בזמן אמת ואמצעי לשחזור נתונים.
בניית תוכנית תקשורת והדרכה
על כל ארגון להחזיק מערך גיבוי והתאוששות מאסון שאפשר ליישם. יש לקבוע את נהלי ההתראה וערוצי התקשורת וזאת כדי להבטיח שמי שאחראי להתאוששות המערכות ידע לבצע את תפקידו בדיוק בזמן הנכון. חשוב להעביר הדרכה מסודרת, הן לגורמי המפתח והן לכלל העובדים כדי שכולם ידעו כיצד לפעול במקרה הצורך.
יש לזכור כי כל ארגון שונה ולכן המערך חייב להיות מותאם לסיכונים, אופי הפעילות ולכוח האדם במקום. הכנה נכונה למקרי חירום היא המפתח להתאוששות מהירה מאסון.
רוצים להעמיק בנושא? לחצו כאן ועיינו במאמרים נוספים בבלוג שלנו.
