המשכיות עסקית במצבי חירום – להיות שני צעדים קדימה

במציאות היומיומית, עסקים מתמודדים עם שפע של איומים שיכולים לשבש את פעילותם. ממתקפות סייבר, מצב חירום בטחוני, מגיפה (קורונה? זוכרים?) ורבים נוספים.
אבל, העובדה שיש אירוע חירום לאו דווקא אומרת שהפעילות העסקית תהיה מושבתת, או משובשת. היערכות נכונה תאפשר לעסק להכין "תכנית מגירה" למצבים כאלו כדי להימנע מאלתורים תחת לחץ. ארגונים חייבים להיות מוכנים לצמצם סיכונים ולהבטיח המשכיות. בקרב ארגונים חיוניים כמו בתי חולים, ארגוני תשתיות ואספקה קריטית הנושא מקבל משנה תוקף.

אוקטובר 2022, בית חולים הלל יפה חווה מתקפת סייבר. במתקפה זו הושבתו מערכות מידע ומערכות תפעוליות קריטיות. מלבד העיסוק במתקפה עצמה, נדרשה ההנהלה בעיקר לדאוג להמשך טיפולים באופן בטוח ואיכותי. הרי לא ניתן לדמיין מצב שחולה לא מקבל תרופה כי אין מחשב..
תיאור האירוע ממחיש בצורה ברורה, שבעת כזאת עיקר הדאגה והקשב של ההנהלה מופנה לסוגיית ההמשכיות העסקית, או ההמשכיות התפעולית אם תרצו.

בואו נעשה תרגיל קטן… במהלך יום עבודה רגיל, לאחר כל פעולה שאתם או העובדים שלכם מבצעים, שאלו שאלה פשוטה- איך הפעולה הזו הייתה מבוצעת ללא מחשב?

תוכנית המשכיות עסקית (BCP- Business Continuity Plan) היא תכנית סדורה המתארת ​​כיצד חברה תמשיך לקיים את הפונקציות הקריטיות שלה במהלך ואחרי תקרית משבשת. מטרתה העיקרית היא למזער את ההשפעה של שיבושים על פעילות הארגון, המוניטין ובעלי העניין של הארגון. BCP מכסה מגוון רחב של תחומים, כולל תשתית IT, אבטחת סייבר, פרוטוקולי תקשורת, בטיחות עובדים וניהול שרשרת אספקה.
הדגש בהכנת תכנית BCP הינו על קריטיות התהליכים, כלומר, אנחנו לא ננסה לתת מענה לכלל התהליכים בארגון (למשל, האם תהליך גיוס עובדים הינו תהליך קריטי לשימור המשכיות במצב חירום? אולי כן ואולי לא, כמו תמיד התשובה היא- תלוי).

BCP ממלא תפקיד מכריע בהבטחת הזמינות והחוסן של מערכות IT וגם מערכות OT. על ידי זיהוי מערכות קריטיות, הקמת אמצעי גיבוי ויישום פרוטוקולי התאוששות מאסון, ארגונים יכולים למזער זמן השבתה ולשחזר במהירות מידע חיוני. לדוגמה, במקרה של כשל בשרת או מתקפת סייבר, BCP מתוכנן היטב יכלול הוראות לשרתים חלופיים, גיבויי נתונים ואמצעי יתירות כדי לשמור על המשכיות תפעולית.

בהכנת BCP  צריך להתוות נהלים למניעה, איתור ותגובה לאירועי חירום. זה כולל הערכות פגיעות, הדרכת עובדים בנושא שיטות עבודה, פרוטוקולי תגובה לאירועים ואסטרטגיות גיבוי למשאבים  קריטיים (מערכות, כח אדם, תשתיות, ציוד) . על ידי שילוב אמצעים אלה, ארגונים יכולים להפחית ביעילות את סיכוני השיבוש ולמזער את ההשפעה של הפרות אפשריות.

אבל שני עקרונות חייבים להתקיים – פשטות והטמעה.

זה בסדר להכין מסמכים מפורטים ומחושבים לגבי כל תרחיש ותרחיש, זה הבסיס. אך המבחן האמיתי הוא בזמן אמת, האם הצוות מרמת ההנהלה ועד העובד ברצפת הייצור ידעו מה לעשות? ללא שני העקרונות פשטות והטמעה, זה לא יקרה! הפרוטוקולים חייבים להיות פשוטים ונגישים, ברגע הביצוע אין את האפשרות להתמודד על מסמכים ארוכים. ויחד עם זאת ללא הדרכה ותרגולים לא נדע שאנחנו באמת מוכנים. תרגילים גם מסייעים לגלות "חורים" בתכנית ולטייב אותה.

אבל לא רק סייבר מדאיג אותנו…מעבר ל-IT ואבטחת סייבר, BCP מטפלת גם באתגרים תפעוליים שעלולים להתעורר עקב אירועים בלתי צפויים. שיבושים אלו יכולים לנוע מאסונות טבע כמו שיטפונות או רעידות אדמה ועד להפרעות בשרשרת האספקה ​​(בישראל מצב חירום בטחוני מתרחש בתדירות גבוהה). תקופת הקורונה המחישה בצורה מאוד ברורה את ההשפעה הרחבה על זמני אספקה של חומרי גלם למשל. BCP מקיף יזהה נקודות תורפה, יפתח תוכניות מגירה ויקבע תהליכים חלופיים כדי להבטיח פעולות ללא הפרעה. לדוגמה, לחברה יצרנית עשויה להיות ספקי גיבוי או קווי ייצור מיותרים כדי למתן את ההשפעה של שיבוש בשרשרת האספקה.

איך מתחילים?

לבנייה של תכנית BCP יש מתודולוגיות עבודה מוגדרות, למשל תקן ISO22301, שניתן להשתמש בו כמנחה. כדאי להשתמש בכלים כאלו על מנת לוודא שאין היבט שלא לוקחים בחשבון.
מומחיות- הכנת תכנית BCP מחייבת מומחיות גם בתחום התפעולי וגם בתחום מערכות המידע, בלי מומחיות והיכרות טובה עם שני התחומים, ככל הנראה יהיו פרמטרים חשובים שלא יילקחו בחשבון.

תהליך מחזורי מדגיש את הצורך להתאים כל העת את התכנית, לתנאים המשתנים בסביבת הארגון, ולשינויים פנים ארגוניים. השלבים הבאים יאפיינו כל תהליך של בניית BCP:

בתקנים בינלאומיים שונים, כמו ISO27001, או SOC2, המגדירים כללים מנחים לאבטחת מידע סייבר ופרטיות, מופיע הפרמטר לביצוע BCP כחלק מדרישות הבסיס לעמידה בתקן. לאחרונה תקן ISO27001 אף יצא במהדורה חדשה אשר מדגישה בין השאר את נושא ההמשכיות העסקית.

מי מוביל את הפעילות בארגון?

בכל ארגון המיקוד של התוכנית ישתנה בהתאם לאופי הפעילות. למשל בארגון בו ההיבטים התפעוליים הם דומיננטיים יותר מי שיוביל את הפעילות הוא מנהל התפעול. ניקח לדוגמא מפעל מזון, בו יש היבטים רבים של שרשרת אספקה, תשתיות, בטיחות וכו'- סביר להניח שהדגש יהיה על נושאים אלו ולכן נכון שמוביל הפעילות יהיה מנהל התפעול.

בארגונים מבוססי מערכות מידע וכאלו אשר מחזיקים מידע רגיש, סביר שיושם יתר דגש על נושא הסייבר ומערכות המידע, ולכן כדאי שמוביל הפעילות יהיה מנהל אבטחת המידע בארגון.

בכל מקרה, בתהליך העבודה יש לשלב בעלי תפקיד מכלל ההיבטים הארגוניים, לרבות פיננסים, שיווק, משאבי אנוש וכו', וזאת כדי לבחון את כלל התהליכים הארגוניים.

לסיכום, תכנית המשכיות עסקית מבססת חוסן ארגוני, אל מול תרחישים שונים שיכולים לשבש את פעילותו. התוכנית אינה עומדת בפני עצמה ורק באמצעות הטמעה ותרגול שוטף אפשר באמת להגביר את המוכנות הארגונית להתמודדות עם תרחישים כאלו. כל עסק חשוף לסיכוני שיבוש כאלו ואחרים, והיערכות מראש תבטיח את אמון הלקוחות, גם בעת משבר.