דברו איתנו

תוכנית המשכיות עסקית \ התאוששות מאסון

תוכנית המשכיות עסקית (BCP) ותוכנית התאוששות מאסון (DRP): הנחיות ושיטות עבודה מומלצות

 

מבוא

הכנה ותכנון לתרחישי חירום היא חיונית להבטחת המשכיות עסקית והתאוששות מאסון. תוכנית המשכיות עסקית (BCP) ותוכנית התאוששות מאסון (DRP) הן שני מרכיבים מרכזיים במערך זה. במאמר זה נפרט את המרכיבים העיקריים של תוכניות אלו, כולל דוגמאות וכלים מעשיים לביצוע, תוך התחשבות בסביבת ה IT וסביבת ה OT ובסיכוני סייבר.

 

תוכנית המשכיות עסקית (BCP)

הכנה ותכנון

הכנת תוכנית המשכיות עסקית כוללת את השלבים הבאים:

  1. ניתוח עסקי (Business Impact Analysis  –  BIA)
    • מטרה: זיהוי תהליכים קריטיים והשפעות השבתתם על הארגון.
    • שיטות עבודה: עריכת ראיונות עם מנהלי תהליכים, שימוש בשאלונים וסקרים.
    • דוגמה: שימוש בתוכנות כמו Archer או ServiceNow לניהול וניתוח המידע.
  2. הערכת סיכונים
    • מטרה: זיהוי סיכונים פוטנציאליים והערכת ההשפעה שלהם.
    • שיטות עבודה: ניתוח תרחישים שונים, שימוש בכלים כמו Fault Tree Analysis (FTA).
    • דוגמה: שימוש ב – ISO 31000 להערכת וניהול סיכונים.
  3. פיתוח אסטרטגיות המשכיות
    • מטרה: קביעת האסטרטגיות להתמודדות עם תקלות והשבתות.
    • שיטות עבודה: פיתוח פתרונות כמו עבודה מרחוק, שימוש באתרים חלופיים.
    • דוגמה: הכנת הסכמים עם ספקי אתרים חלופיים ומרכזי נתונים.
  4. תיעוד והכנת תוכנית BCP
    • מטרה: תיעוד כל הנהלים והפרוטוקולים.
    • שיטות עבודה: יצירת מסמכים מקיפים, אחסון במערכות ניהול מסמכים.
    • דוגמה: שימוש ב – Confluence או SharePoint לתיעוד ושיתוף המסמכים.

 

עדכונים שוטפים ובדיקות

יש לעדכן ולבדוק את התוכנית באופן קבוע.

  1. עדכונים תקופתיים
    • תדירות: לפחות פעם בשנה או בהתאם לשינויים משמעותיים בארגון.
    • שיטות עבודה: עדכון מסמכים, ייעוץ עם בעלי עניין.
  2. בדיקות והדרכות
    • מטרה: לוודא שהתוכנית עובדת ושהצוותים מיומנים.
    • שיטות עבודה: ביצוע תרגולים, סימולציות.
    • דוגמה: ארגון תרגילי שולחן (Tabletop Exercises) ובדיקות מעשיות.

 

תוכנית התאוששות מאסון (DRP)

הכנה ותכנון

הכנת תוכנית התאוששות מאסון כוללת את השלבים הבאים:

  1. זיהוי תשתיות קריטיות
    • מטרה: זיהוי תשתיות חיוניות להמשכיות העסקית.
    • שיטות עבודה: מיפוי מערכות קריטיות, שימוש בכלים לניהול תצורה.
    • דוגמה: שימוש במערכת CMDB כמו ServiceNow או BMC Remedy.
  2. קביעת יעדי RPO ו – RTO
    • RPO (Recovery Point Objective): כמה נתונים ניתן להרשות לאבד.
    • RTO (Recovery Time Objective): זמן מקסימלי להשבתת מערכת.
    • שיטות עבודה: ניתוח עסקי, התייעצות עם מנהלי תהליכים.
    • דוגמה: קביעת RPO של 4 שעות ו – RTO של 24 שעות למערכות כספים.
  3. פיתוח תוכנית התאוששות
    • מטרה: הכנת נהלים מפורטים לשחזור מערכות ותשתיות.
    • שיטות עבודה: תכנון תהליכי שחזור, הגדרת תהליכי חירום.
    • דוגמה: הכנת תוכנית גיבוי ושחזור למערכות ERP.

 

יישום וניהול

יישום התוכנית וביצוע בדיקות שוטפות.

  1. יישום טכנולוגיות גיבוי ושחזור
    • מטרה: הבטחת זמינות נתונים ושחזור מהיר.
    • שיטות עבודה: התקנת מערכות גיבוי, שימוש בטכנולוגיות ענן.
    • דוגמה: שימוש ב – Veeam או CommVault לגיבויים.
  2. בדיקות תקופתיות
    • תדירות: לפחות פעמיים בשנה.
    • שיטות עבודה: ביצוע בדיקות שחזור, אימונים לצוותים.
    • דוגמה: ביצוע בדיקת שחזור מלאה כל חצי שנה.

 

ניהול זמני השבתה (MDT)

ניהול זמני השבתה הוא קריטי להבטחת המשכיות ותפקוד תקין של הארגון.

  1. זיהוי מערכות קריטיות
    • מטרה: קביעת מערכות אשר השבתתן תגרום לנזק משמעותי.
    • שיטות עבודה: ניתוח תהליכים עסקיים.
    • דוגמה: מערכות ERP, מערכות ניהול לקוחות (CRM).
  2. תכנון תקופות השבתה מתוכננות
    • מטרה: הפחתת ההשפעה של השבתות מתוכננות.
    • שיטות עבודה: תיאום עם משתמשים, ביצוע השבתות בזמנים נמוכים.
    • דוגמה: תכנון השבתות לתחזוקה בשעות הלילה או בסופי שבוע.

 

שילוב הנהלה בכירה בתהליכים

מעורבות ההנהלה הבכירה היא חשובה להצלחת התוכנית.

  1. גיבוי ותחזוקה של התוכנית
    • מטרה: לוודא שהתוכנית מקבלת תמיכה ומימון מתאים.
    • שיטות עבודה: הצגת דוחות תקופתיים להנהלה, בקשות תקציב מותאמות.
    • דוגמה: הצגת דוח שנתי עם המלצות לשיפור ותקציבים נדרשים.
  2. קביעת מדיניות ואסטרטגיה
    • מטרה: יצירת מסגרת עבודה והתוויית כיוון ברור.
    • שיטות עבודה: שיתוף ההנהלה בתכנון האסטרטגי.
    • דוגמה: אישור מדיניות גיבוי ושחזור על ידי מועצת המנהלים.

 

סביבת IT ו – OT והסיכונים הקשורים בסייבר

יש להתייחס גם לסביבת ה – IT וגם לסביבת ה – OT בתכנון התוכנית.

  1. אבטחת סייבר ב – IT
    • מטרה: הגנה על מערכות IT מפני איומי סייבר.
    • שיטות עבודה: התקנת מערכות הגנה, ביצוע סקרי פגיעויות.
    • דוגמה: שימוש ב – Firewalls , IDS/IPS, בדיקות חדירות תקופתיות.
  2. אבטחת סייבר ב – OT
    • מטרה: הגנה על מערכות OT מפני איומי סייבר.
    • שיטות עבודה: בידוד מערכות OT, התקנת מערכות ניטור.
    • דוגמה: שימוש ב – SCADA Security ו – Network Segmentation.

 

PLAYBOOK: דוגמת תוכנית פעולה להתערבות באירוע

שלב 1: זיהוי האירוע

  • פעולות: זיהוי ודיווח על האירוע.
  • אחראים: כל עובד שמזהה את האירוע.
  • כלים: מערכת ניהול אירועים כמו ServiceNow.

 

שלב 2: הערכת המצב

  • פעולות: הערכת חומרת האירוע והשפעתו.
  • אחראים: צוות תגובה לאירועים (IRT).
  • כלים: כלים לניטור ובקרה כמו Splunk.

 

שלב 3: דיווח להנהלה

  • פעולות: דיווח להנהלה על האירוע והצעדים הננקטים.
  • אחראים: מנהל צוות התגובה.
  • כלים: מערכות דיווח וניהול כמו Jira.

 

שלב 4: הפעלת תוכנית DRP/BCP

  • פעולות: הפעלת תוכניות הפעולה המתאימות בהתאם לתוכנית.
  • אחראים: כל חברי צוותי התגובה.
  • כלים: מערכות גיבוי, אתרים חלופיים.

 

שלב 5: התאוששות והפקת לקחים

  • פעולות: שחזור המערכות, הפקת דוח סיכום והמלצות.
  • אחראים: צוות התגובה, הנהלה בכירה.
  • כלים: מערכות ניהול תיעוד כמו Confluence.

 

סיכום

תוכנית המשכיות עסקית ותוכנית התאוששות מאסון הן קריטיות להבטחת המשכיות ותפקוד תקין של הארגון. שילוב הנהלה בכירה, התייחסות לסביבת IT ו – OT והכנת PLAYBOOK להתערבות באירוע מבטיחים שהארגון יהיה מוכן להתמודד עם כל תרחיש אפשרי ולשמור על יציבות עסקית.

 

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.
ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי