אנחנו חיים במציאות שיש בה אלמנט משמעותי של חוסר ודאות, והתעלמות מכך עלולה לגרום לנזקים כבדים - ובפרט לעסקים. על-מנת להיערך לכל תרחיש שעלול לפקוד אותנו, פותח קונספט שנקרא "המשכיות עסקית". זוהי תפישה תפעולית וניהולית שנועדה לאפשר פעילות תקינה לחלוטין גם כשהמציאות המוכרת לנו משתבשת מסיבה כזו או אחרת. רמת ההשקעה של המשאבים השונים שנדרשים כדי לאפשר את ההמשכיות העסקית בכל מצב נקבעת בהתאם למידת החיוניות של הארגון ולהיקף הנזק הפוטנציאלי שעלול להיגרם לו - ובחלק מהמקרים גם למדינה כולה - אם החזרה לפעילות תקינה תתעכב במידה ניכרת. חשוב להדגיש שזהו תחום שמחייב מומחיות של ממש, ובארץ, ולמעשה גם בעולם כולו, יש מעט מאוד חברות שיודעות להבטיח המשכיות מלאה (וכמובן גם לקיים את ההבטחה).
לאילו תרחישים חשוב להיערך מראש?
ההגדרה המקובלת של המשכיות עסקית היא היכולת להמשיך לתפקד גם במקרים של אסון, חבלה או תקלה. רשימת התרחישים האפשריים שעלולים להוביל לשיתוק, חלקי או מלא, של פעילות חברה מסוימת, כוללת בין השאר מתקפת טילים (אירוע שלצערנו אינו נדיר בישראל), רעידת אדמה (סיטואציה נוספת שהסבירות להתרחשותה בארץ גבוהה יחסית), הצפות, שיטפונות, טרור דיגיטלי (כלומר מצב שבו גורמים עוינים מנסים לחבל במערכות המחשב של הארגון, בין אם כדי לפגוע בו ובין אם על-מנת לדרוש תשלום כופר גבוה), קריסה של רשת החשמל לפרק זמן ארוך יחסית (תקלה שעלולה להתרחש גם במדינות מפותחות - בקליפורניה למשל ישנן הפסקות חשמל יזומות עקב שריפות בתדירות גבוהה למדי), שריפות, חבלות מכוונות מצד עובדים בחברה, פגיעה פיזית בתשתיות שונות ועוד ועוד.
הרשימה הארוכה ומגוון הסכנות מחייבות התייחסות יסודית ומעמיקה. בהקשר זה כדאי להכיר את המושג "איפחות". איפחות - ובאנגלית Mitigation - הוא אוסף הפעולות שאותן כדאי לבצע עוד לפני שמתרחשת קטסטרופה, כך שגם אם תרחיש גרוע במיוחד יהפוך למציאות, נהייה ערוכים אליו ולא ייגרם לנו נזק חמור ובלתי הפיך. תוכנית המשכיות עסקית מפורטת (Business Continuity Plan, ובראשי התיבות המוכרים BCP) היא מרכיב הכרחי באיפחות.
המשכיות עסקית על ציר הזמן
נהוג לחלק את תוכניות ההמשכיות העסקית ל-3 חלקים, בהתאם לשלבים הרלוונטיים אחרי שמתממש תרחיש בעייתי עבור העסק או הארגון:
א. השגת שליטה - הרגעים הראשונים מיד עם פרוץ המשבר הם קריטיים. חשוב להתנהל באופן מושכל, כאמור על סמך תכנון מוקדם, כך שגם בתנאים קשים וכשרמת הלחץ גבוהה, התפקוד התקין נשמר. הערכת מצב כוללת ומפורטת היא חלק בלתי נפרד משלב רגיש זה.
ב. הבטחת המשך הפעילות העסקית - על בסיס מערכות חלופיות וגיבויים שמוגנים מפני גורמי הקטסטרופה.
ג. התאוששות - תוכנית המשכיות עסקית כוללת גם תהליכים מסודרים של חזרה לפעילות באמצעות התשומות ה"רגילות", בדיקה מדוקדקת אם נגרמו נזקים ואם אכן היו, טיפול בהם.
אילו חברות וארגונים זקוקים לתוכנית המשכיות עסקית?
תוכנית המשכיות עסקית (BCP) היא מרכיב חיוני במתודולוגיות הניהול והתפעול של חברות וארגונים רבים. למעשה מומלץ לכל חברה שלא יכולה להרשות לעצמה הפסקת פעילות לפרק זמן משמעותי לוודא שהיא ערוכה היטב לכל מצב. בפרט חשוב לבנות תוכנית מתקדמת ויעילה כשמדובר על גופים גדולים כמו חברות אשראי, חברות ביטוח, בנקים, רשתות קמעונאיות ועוד. מי שעוד לא יכול לוותר על BCP הם חברות וארגונים שהפעילות שמתנהלת בהם חיונית מאוד בכל נקודת זמן - לדוגמה בתי חולים, שבמצבי חירום לא רק שהם חייבים להמשיך לתפקד היטב אלא שיש סיכוי גבוה שהצורך בשירותיהם אף יגדל. בארגונים שמצטבר אצלם מידע רגיש ויקר ערך, כמו למשל משרדי ממשלה, חשוב להגן עליו ולכן גם במקרים אלה איפחות הוא מדיניות מתבקשת ואף הכרחית.
איך מתכננים BCP באופן אופטימלי?
בניית BCP מחייבת כאמור מומחיות ייחודית, כך שהפתרונות יהיו היעילים ביותר שאפשר ואם חלילה יהיה צורך להשתמש בהם ברגע האמת הם יוכיחו את עצמם. דגש נוסף הוא צמצום עלות האיפחות וכמו כן יש לוודא שכל הפעולות שמתבצעות במסגרת הבטחת ההמשכיות העסקית לא פוגעות בתפעול השוטף.
באופן טבעי תוכניות המשכיות עסקית מותאמות לצרכים הספציפיים של חברה או ארגון. ככלל נדרשת תשומת לב לתשתיות החשובות ביותר בימינו והן חשמל, יכולות מחשוב וה-DATA של העסק, וגם ויסות הטמפרטורה והלחות ונגישות למים הן יכולות שיש צורך להבטיח אותן. בנוסף, עבור כל רכיב מוגדרת רמת הוודאות הדרושה מבחינת זמינות הגיבוי ופרק הזמן שבו ניתן יהיה להסתמך עליו. כך לדוגמה עבור ארגונים שמוגדרים כחיוניים ע"י ועדת מל"ח העליונה (הגוף שאחראי בארץ על תפקוד המדינה במצבי חירום), הזמינות המינימלית היא 99.99% (כלומר הסיכוי שהחברה לא תוכל לתפקד לאחר התרחשות תקלה, חבלה או אסון, הוא לכל היותר 1 ל-10,000).
עוד נדבך של BCP הוא חלוקת התפקידים ותחומי האחריות של העובדים בעסק במצבי חירום שונים, כך שכל אחד וכל אחת ידעו בדיוק מה עליהם לעשות בכל תרחיש ייחוס. מומלץ בחום לתרגל תרחישים שונים ולבחון את המערכות שהוטמעו בארגון לטובת ההמשכיות העסקית, כדי לוודא שבמידת הצורך אכן תתאפשר המשכיות.
איך טכנולוגיית הענן מסייעת לשמור על רציפות הפעילות העסקית?
מטבע הדברים כל תוכנית המשכיות עסקית נשענת במידה ניכרת על טכנולוגיות מתקדמות. בפרט נעשה שימוש בטכנולוגיית הענן - כשכל המידע יקר הערך שקיים בחברה או בארגון מגובה באופן רציף וקבוע בענן, הוא מוגן ויישמר במלואו גם אם ישנה פגיעה פיזית במחשבים של אותה חברה. BCP יעיל יאפשר שליפה של כל ה-DATA ושימוש בו לטובת הפעילות העסקית, כך שהיא תהיה רציפה לחלוטין.
כשבוחרים לשמור DATA בדרך זו, חשוב להקפיד על ענן שעומד בכל התקנים המחמירים ביותר מבחינת אבטחת מידע, כך שהוא לא ייחשף לעיניים עוינות. בהתאם מומלץ להיעזר רק בחברות שכבר גיבשו תוכניות המשכיות עסקית עבור ארגונים גדולים, ויודעות לספק את הפתרונות המתקדמים ביותר, האמינים ביותר, הזמינים ביותר והיציבים ביותר הקיימים כיום.