רקע:

מערכות המחשוב הינן מרכיב הכרחי וקריטי לתחום העסקי של החברה.

הפסקת עבודה / שיבוש מערכות המחשוב כתוצאה מאירוע כשל ו/או אסון עלולה לגרום לנזק כספי משמעותי עד כדי חוסר תפקוד מוחלט של כלל החברה.

על מנת למזער את הנזקים מקובל להיערך בשלושה מישורים עפ"י הסדר הבא:

1. גיבוי מתקן ומערכות מידע קיימות.
2. תכנית וכלים להתאוששות מאסון.
3. תכנית להמשכיות עסקית.

מושגי יסוד:

1. מערכת קריטית – מערכת אשר מקבלת ציון גבוה במדרוג כלל מערכות הארגון על סמך פרמטרים כגון סביבת עבודה (ייצור / קדם ייצור / פיתוח / בדיקות / הדרכה), מספר משתמשי מערכת, מספר מערכות שקשורות האחת בשנייה ושכיחות השימוש במערכת.
2. תרחיש – תיאור מצב העלול להתרחש כתוצאה מאיום כלשהו המופעל מול הארגון.
3. איום – אירוע חיצוני או פנימי בעל השפעה ישירה על יכולת הארגון להמשיך לספק שרות.
4. סיכון – פוטנציאל לאיבוד עתידי של דבר מה בעל ערך, ועשוי להיות פנימי / חיצוני לארגון.
5. ניהול סיכונים – הוא תהליך הקשור בניהול שוטף ומטרתו לאתר סיכונים, להעריך את עצמת הנזק שהם עלולים לגרום, הגדרת השיפור הנדרש ובקרה על ביצועו.
6. מצב חירום – הוא מצב בו קיים כשל מהותי בתפקוד שעלול לסכן, מידית או בטווח ארוך את הפעילות. מצב חירום עלול להתרחש ברמה לאומית (מלחמה) או רק ללקוח ספציפי (לדוגמה שריפה בחדרי התקשורת של אחד האתרים המרכזיים או אבדן מידע).

מתארי איום מרכזיים למערכות המידע:

1. נזק פיזי במתקן ה – DC הגורם לאבדן / הפסקת עבודה חלקית או מלאה של ציוד החומרה (מלחמה, שריפה, הצפה, שיטפון, סופת שלגים, רעידת אדמה).
2. נזק הנגרם למידע / נתונים בשל כשל תוכנה ו/או נזק פיזי באל פסק, בשרת ו/או במערכת האחסון המרכזית (הפסקת חשמל, התחממות הציוד, השחתת נתונים).
3. נזק חלקי ו/או מלא הנגרם לתקינות / איכות המידע בשל התקפת סייבר / וירוס, ופוגע בנתונים, או תקלה רגעית "שדפקה" קובץ וורד, ומחיקת נתונים ע"י הגורם האנושי.
4. פגיעה בתשתיות התקשורת בין הלקוחות למתקני ה – DC ו/או בתקשורת בין מתקני DC (לדוגמה דחפור שקרע סיב אופטי).
5. פגיעה בשלמות הנתונים של בסיסי נתונים בשל כשל חומרה או תוכנה (Data Consistency Data Integrity, Data loss, Data Corruption,).
6. כשל נקודתי במערכת מסוימת בגלל בעיית באג בתוכנה או בעיות סביבתיות (ממשקים, תקשורת, אחסון…).

איך ניתן לזהות סיכונים?

ארגונים מחויבים להבטיח את עמידותם במצבי חירום שונים, תוך המשך תפקוד רציף ותקין והמשך מתן שירות. לכן, על הלקוח להיערך לכשל בתשתיות המחשוב, שאינו מצריך התנהגות מיוחדת מצד העובדים.

חשוב להכיר, שלרוב, הלקוח אינו מדוע כלל לסיכונים האפשריים, ואינו מסוגל לזהות אותם.

בתוך כך, נדרש לבצע "סקרי סיכונים".

מהו סקר סיכונים ומטרתו?

סקר סיכונים מאפשר למזער סיכונים, ובמקרים רבים גם לשלול כל חשש לסיכון ע"י שינוי תכנית מקורית בתכנית חלופית / מגירה. ביצוע סקר סיכונים יאפשר לרוב הערכה מחודשת לתכניות, רעיונות וכו', וע"י כך, עשוי לחסוך כסף ולייעל תהליכים ולמנוע נזקים עסקיים שהשיקום שלהם עשוי להיות ארוך, מורכב ומתיש.

מטרת הסקר הוא לחשוף, לאתר ולמיין סיכונים ואיומים שעשויים לסכן את הארגון בטווח המידי והארוך, וכן לשקף בעיות ברמה הארגונית – פנימית, ו/או חיצונית שלא בהכרח תלויים בלקוח / בארגון. בגמר הסקר, הלקוח יעיין בממצאים ויוכל לקבל החלטה מושכלת באם להמשיך פעילות כזו ו/או אחרת או לשנות אסטרטגיה. למען הסר ספק, הלקוח יקבל תמונת מצב שתאפשר לו לתמרן ולגלות דינאמיות וגמישות באשר לפעילות העסקית שלו.

מה הן השלבים המהותיים בביצוע סקר סיכונים?

1. קיום פגישה עם הלקוח במטרה להכיר את הארגון, אופי הפעילות והמבנה ארגוני ותפקידי מפתח.
2. תשאול הגורמים הרלוונטיים / תפקידי מפתח במטרה לקבל מידע רלוונטי שיאפשר זיהוי סיכונים פוטנציאליים, וסביבם לבנות תרחישים אפשריים שעלולים לפגוע בארגון.
3. עיון קפדני, מקיף ויסודי במסמכים / תרשימים שונים. וביצוע בדיקות Hands On.
4. הגשת דו"ח ממצאים ללקוח, וכן ביצוע סקרים נוספים אחרי שהלקוח מאשר טיפול בליקוים שאותרו.