השבתת המערכות תוביל לא רק להפרעה רגעית ביכולת העבודה, אלא לעיתים קרובות גם לנזק בלתי הפיך.
ההיסטוריה מוכיחה שחברות אשר סבלו מאבדן נתונים נרחב התקשו להתאושש ממנו, ומעטות שרדו בטווח הארוך.
תכנית התאוששות מאסון (DRP-Disaster Recovery Plan) נועדה לתת מענה אפקטיבי להתמודדות עם אירועים משבשים וכשלים במערכות המידע הארגוניות. המטרה המרכזית של תוכנית התאוששות מאסון היא לצמצם את הנזק הנגרם למערכות ה – IT כתוצאה מאירועים משבשים ולהחזיר את הארגון לתפקוד מיטבי מהר ככל הניתן לאחר התרחשות האירוע.
אירוע משבש יכול להגרם כתוצאה מתקלות טכניות, הפסקות חשמל, בעיות תקשורת, הצפות או שריפות, כמו גם גורמי אנוש כגון: התקפת סייבר, טעות אנוש, מחיקה בשוגג, חבלה בזדון ועוד. בעוד שבעבר נדמה היה לנו כי אלו אירועים נדירים ולא סבירים, בימנו נראה כי אירועים אלו תדירים וחוזרים.
מה כוללת תוכנית התאוששות מאסון?
תוכנית ה-DRP מורכבת למעשה משני נדבכים:
- גיבוי של הנתונים והמידע – על מנת לוודא את זמינות המידע ואת אמינותו.
- שרידות ויתירות של מערכות המחשב – הרי ששרידות המידע לבד אינה מספקת. ללא מערכות וחומרה עליהן מבוסס ועובד המידע, לרבות- שרתים, מערכות אחסון, תקשורת, מערכות תשתית וכד', לא תהיה יכולת גישה ושימוש במידע.
לכן, תוכנית התאוששות מאסון כוללת מתודולוגיות מפורטות למערך הגיבויים של הארגון, יתירות ויכולת התאוששות מהירה של שירותי IT חיוניים, יתירות או שרידות של מערכי החומרה ותקשורת, וכמובן נהלים ברורים ומפורטים להפעלה ולשחזור כלל המערכות.
אלו הם שלבי בניית תכנית התאוששות מאסון – DRP:
השלב הראשון – הגדרת מדיניות
השלב הראשון בבניית תוכנית התאוששות מאסון הוא הגדרת המדיניות בהתאם ליעדי הארגון. יעדי הארגון הם המרכיב החשוב ביותר מתוקף עיסוקם בהחלטות חשובות ומשמעותיות. ללא החלטות, לא ניתן לבנות תוכנית התאוששות איכותית. יש לזכור כי לכל החלטה על יעדים יש משמעויות כבדות על עלות התוכנית, על מורכבותה ועל היכולת לממש אותה בהצלחה ולשמר אותה לאורך זמן.
הגדרת היעדים תענה על השאלות הבאות:
- ניתוח איומים – ביצוע סקר סיכוני אבטחת מידע לשם זיהוי האיומים איתם נדרשת התוכנית להתמודד, ובאיזה תרחישים הם עלולים להתממש. קביעת רמת הסיכון אותה הארגון מוכן לספוג.
- תעדוף המערכות הקריטיות – קביעת המערכות החיוניות לארגון בשעת משבר תשפיע גם על ההחלטה האם לכלול אותן בתוכנית ההתאוששות וגם על סדר ההעלאה שלהן בתוך תהליך ההתאוששות. לדוגמה – מערכת ניהול הלקוחות (CRM) תקבל עדיפות גבוהה יותר ממערכות ניהול שכר, מתוך ההבנה כי הסובלנות לשיבושים במערכות הלקוחות נמוכה יותר והנזק הגלום בכל השבתה משמעותי ויקר יותר.
יש לשים לב שלכל ארגון מערכות מתעודפות משלו אל מול צרכיו ושירותיו. - הגדרת לוחות זמנים להתאוששות – נדרש לקבוע לכל מערכת קריטית מהם היעדים בהם היא צריכה לעמוד. לשם כך על התכנית להגדיר שני פרמטרים מרכזיים, בהתאם לאופי הארגון ויעדיו:
- RTO) Recovery Time Objective) – יעד זמן להתאוששות, קרי- פרק הזמן הנדרש לחזרה לפעילות עסקית או כמה זמן ניתן להרשות למערכת להיות מושבתת עד לחזרתה לפעילות.
- RPO) Recovery Point Objective) – נקודת ההתאוששות, קרי, מה היקף המידע (במונחים של זמן) אותו אנו מוכנים לאבד, או לאיזו נקודה בזמן אנו מוכנים לחזור, על מנת לוודא שהנתונים נכונים ובטוחים. בפועל, משמעות הפרמטר הוא תדירות ביצוע הגיבויים.
- הגדרת היקף העבודה הנדרשת בזמן משבר – יתכן שבזמן אירוע או משבר ניתן יהיה להסתפק בעבודה במתכונת מצומצמת, על ידי מספר עובדים מצומצם, בזמני תגובה ירודים או תוך ויתור על חלק מהיכולות והפונקציות בארגון.
- קביעת מדיניות הפעלת התוכנית – כאמור, אירועים משבשים ותקלות במערכת המחשב אינן נדירים. לכן נדרש לקבוע מהו סף הרגישות של הארגון לתקלות, ומתי תקלה תחצה את הסף הנדרש על מנת להפעיל תוכנית התאוששות מאסון.
השלב השני – בניית אסטרטגיה לתוכנית ההתאוששות:
לאור הגדרת המדיניות של החברה ניתן לבנות את האסטרטגיה לתוכנית ההתאוששות מאסון. מטרתה הינה לתרגם את המדיניות והתעדופים העסקיים לפתרונות טכנולוגיים.
אתר התאוששות מאסון (אתר DR)
הכלי המרכזי לשמירה על שרידות ויתירות של מערכות המחשב, הוא אתר התאוששות מאסון. אתר DR נועד לאפשר לחברה להתאושש במהירות, לקצר את זמן הפעלת המערכות מחדש ולעיתים אף לחסוך את הזמן הנדרש לרכש ציוד חדש או איתור מתקנים פיזיים חליפיים.
אתרי DR נבדלים זה מזה ברמת הזמינות שלהם:
- אתר חם – אתר בו המערכות עובדות באופן שוטף במקביל לאתר הראשי.
כל פעולה המתבצעת באתר הראשי משוקפת בזמן אמת גם לאתר ה-DR. במידה והאתר הראשי נופל, אתר ה-DR נכנס לפעולה באופן מיידי וממלא את מקומו.
במקרים רבים אתר חם מתוכנן כך שייתן מענה לא רק במקרה של נפילת האתר הראשי בכללותו, אלא גם במקרים בהם רק חלק מהמערכות נפגעות ויש לבצע מעבר חלקי. במקרים אחרים, שני האתרים פועלים במקביל וחולקים את העומסים, כאשר בזמן נפילה 'לוקח' על עצמו האתר המשני את כלל העומס. בצורה זו מתאפשרת רציפות תפקודית של הארגון עם מינימום זמן השבתה.
החסרון הגדול של אתרים חמים הוא בעלותם הגבוהה בהקמה ובתפעול השוטף. - אתר קר – אתר בו המערכות ובהן-שרתים, מערכי אחסון, תקשורת וציוד עזר כבויים. מהרגע בו עולה הצורך ועד להפעלה מלאה עובר זמן הנדרש עבור הפעלת הציוד והפעלת וטעינת מערכות.
אתרים קרים מתאימים בעיקר לארגונים בהם ה-RTO גבוה, ארגונים אשר יכולים להסתפק במענה לתרחישי קיצון בלבד (השבתה מלאה של האתר הראשי לפרק זמן ארוך).
לעומת חסרונותיו הברורים של האתר הקר, יתרונו המובהק הוא בעלות ההקמה והתחזוקה. יתרון סמוי מן העין הינו שהפעלתו אינה אוטומטית, ולכן הוא מעניק מעין "שכבת ביניים" להגנה ויכולת התמודדות עם אירוע סייבר.
בין אתר חם לאתר קר יש מנעד שלם של פתרונות וארכיטקטורות ביניים.
לאחר ההחלטה על מתכונת הפעלת האתר יש להחליט על מיקום האתר והאחריות התפעולית שלו, האפשרויות הקיימות הן:
- בתוך הארגון (On-Prem) – אתר ההתאוששות נמצא באחד המתקנים של הארגון. לרוב במתקן שונה מזה של האתר הראשי ומנוהל באחריות הארגון. מובן שפתרון זה מחייב שלארגון יהיה מתקן נוסף מרוחק מספיק כך שתקלה מקומית לא תפגע בשני האתרים במקביל (לדוגמא הפסקת חשמל אזורית או קטיעה של ציר תקשורת).
- אצל ספק אירוח חיצוני- ספק המקצה לארגון שטח ותשתיות פיזיות להקמת אתר מחשב. היתרון המובהק של חלופה זו, מלבד החסכון בהקמת אתר מחשב נוסף, הוא ההישענות על מומחיות של חברת האירוח בהקמה ותפעול של חדרי מחשב. לרוב, לספק אירוח יהיו תשתיות מגובות ויכולת טובה יותר להתמודד עם תקלות ואירועים משבשים. במרבית המקרים האתרים של ספקי האירוח יהיו במתקנים ממוגנים כנגד איומים חיצוניים, באופן טבעי אלו כנראה יהיו מרוחקים מספיק ממתקני הארגון.
- DR בענן – אתר ההתאוששות מאסון נמצא בענן אצל אחד מספקי הענן המוכרים. היתרון העיקרי של חלופה זו, הוא בכך שכל עוד לא מתרחש אירוע משמעותי המחייב את הפעלת התוכנית, התשלום לספק הענן אינו גבוה (שכן אנו משלמים בעצם רק על אחסון הנתונים ולא על הפעלת המערכות). יש לשים לב כי פתרון זה אינו מתאים לכל ארגון ובמקרים מסוימים הוא אינו ישים.
גיבוי הנתונים
כאמור, תכנית התאוששות מאסון עוסקת הן בשרידות ויתירות של מערכות המחשב והן בגיבוי הנתונים.
גיבוי הוא כלי חשוב ביותר על מנת לוודא שבעת אירוע לא יאבדו נכסיו המשמעותיים ביותר של הארגון, מאחר ובניגוד למערכות חומרה (אותן תמיד ניתן לרכוש מחדש) מידע שאבד – אבד לנצח.
בתכנון מערך הגיבויים יש להתחשב בהגדרות ה-RTO וה-RPO שנדונו קודם ובשיקולים נוספים אשר בראשם – יכולת התמודדות עם אירוע סייבר.
שני האתגרים הגדולים ביותר בתכנון מערך הגיבויים הם היכולת לשחזר את המידע במהירות ובאמינות, היות שאיכות הגיבוי נבחנת כאשר צריך לשחזר אותו. בעיקר – יכולת הגיבוי להתמודד ולהגן מפני אירוע סייבר: תקיפות הסייבר העדכניות מכוונות לפגוע גם בגיבויים ואף יודעות להתמודד עם גיבויים של דורות לאחור.
מתודולוגיה מקובלת לגיבויים מחייבת שמירה של מספר עותקים של המידע כך שיהיה עותק אחד לפחות במיקום פיזי נפרד, ברשת לוגית נפרדת, בגישת קריאה של Read Only ובניתוק מוחלט מהרשת.
מובן שלצד מערכת גיבוי אמינה ומתקדמת נדרשת גם מתודולוגית שחזור אשר תבטיח שמידע משוחזר לא יפגם.
השלב השלישי – יצירת מתודולוגיות לניהול האירוע:
הקמת אתר DR אינה השלב האחרון בתהליך. גם לאחר שאתר ה-DR קיים ועובד, יש לבנות את העקרונות והמתודולוגיות לניהול האירוע על מנת להבטיח שאתר ה-DR יופעל בצורה המיטבית. יצירת מתודולגיות הניהול עוסקת בשאלות הבאות:
- מהו תהליך קבלת ההחלטות? קביעת המצבים והתרחישים להכרזה על אירוע התאוששות מאסון. הגדרת בעלי התפקיד המוסמכים להפעיל את התוכנית והנתונים שנדרשים להם על מנת לקבל החלטה. כיצד מתנהל התהליך (כזכור, צריך להתנהל ללא מערכות מחשב שבשלב זה לא זמינות).
- מי הגורמים המשתתפים בתהליך? טכנאים, אנשי תקשורת, אנשי אבטחת מידע, ועוד.. מה רמת זמינותם? וכיצד שומרים על כוננות מספקת?
- מהו תהליך ההפעלה של תוכנית ההתאוששות מאסון? לרבות, שגרות הפעלה, בדיקות ונהלי הפעלה באתר החליפי.
- מהם התרגולים שיש לבצע? ללא ספק, המרכיב החשוב ביותר בתוכנית, ללא תרגולים ובדיקות עיתיות לא נוכל לסמוך על תוכנית ההתאוששות ולדעת שזו אכן תמלא את ייעודה ביום הדין.
- ולבסוף,מהו תהליך החזרה לשגרה? תכנון של תהליך זה (Failback), אינו מובן מאליו גם הוא ומחייב הכנה ותכנון מראש.
מה ההבדל בין DRP ל -BCP?
תוכנית התאוששות מאסון – ממוקדת רק בהיבטים הנוגעים להמשכיות העסקית של טכנולוגיית המידע של החברה, אך מערכות המחשב הן רק רובד אחד בפעילות החברה. לצידם יש לוודא את המשכיות היכולת לתפקד, לרבות רכיבים אחרים כגון: משרדים, עובדים, תהליכי עבודה, ספקים ועוד.
תכנית המשכיות עסקית BCP – תכנית מקיפה יותר מ – DRP, אשר מטרתה למזער סיכונים שונים לעסק, גם כאלו שאינם קשורים ישירות למערכות המידע. התכנית מאפשרת שמירת רציפות תפקודית ללא קשר לנסיבות ואופי האירוע המשבש.
ברמה הארגונית תכנית BCP ו – DRP משולבות לעתים קרובות כיוזמה ארגונית אחת.
התאוששות מאסון – סיכום
תכנית התאוששות מאסון יכולה להוות הגורם המכריע להתאוששותו של העסק, או הפסקת פעילותו, במקרה של פגיעה במערכות המידע. בעולם בו תלות הארגונים במערכות המידע מתעצמת, יש חשיבות רבה לתכנון ותרגול תכנית התאוששות מאסון המתאימה במדויק לצרכי העסק והארגון.
לחברת אלמנטס נסיון רב בליווי חברות וארגונים, מהמובילים במשק, בתהליך בניית תכנית התאוששות מאסון, ניהול משברים בארגון והשגת חוסן ארגוני. לפרטים נוספים מוזמנים להתקשר: 072-2650145, או למלא את טופס הפניה באתר.
נשמח לחזור אלייך לגבי התוכנית שלך!