המשכיות עסקית – להישאר בעסקים (1/2)
חלק ראשון מתוך שניים
מי שלא דואג להמשכיות עסקית, כנראה לא מעריך מספיק את הביזנס שלו. גם התירוץ "לי זה לא יקרה" לא מחפה על קביעה זו. כבר הוכח מעל כל צל של ספק שבעת ארועי חרום (הפסקות חשמל גדולות, קריסת בנינים וכו'), ארגון שהתכונן מראש לשמור על המשכיות עסקית, הפסיד הרבה פחות. לפי מטה גרופ, בטווח של 10 שנות פעילות, תופעל בממוצע אחת מכל שלוש תכניות המשכיות עסקית. המשכיות עסקית איננה טכנולוגיה, שירות או מוצר ספציפי ואף לא "פרויקט" שיש לו התחלה וסוף. המשכיות עסקית הינה דרך לעשות עסקים ולהישאר בעסקים, תהליך שנועד לוודא שעסקי הארגון ומחוצה לו זמינים גם בעיתות חרום.
על פי נתוני משרד התעסוקה האמריקני, 40% מהעסקים הנפגעים באסון סופגים מכה אנושה ומפסיקים את פעילותם העסקית באופן מיידי, וכ-20% נוספים נסגרים בתוך שנתיים ממועד האסון. בין הסכנות המיידיות הנובעות ממקרי חירום: חוסר יכולת לספק שירות ללקוחות, אי עמידה בדרישות רגולטוריות, פגיעה במוניטין החברה או המותג, נזק לרכוש החברה וחוסר שליטה ובקרה על הפעילות העסקית. על מנת לצמצם ככל האפשר את הפגיעה בפעילותה העסקית של החברה, נדרש לשים דגש במצב חירום על שימור תהליכי הליבה המרכזיים של חברה, ועל יכולתה לחזור לפעילות בהיקף מלא תוך זמן קצר ככל האפשר.
תכנית ההמשכיות העסקית מגדירה את האופן שבו יבוצעו תהליכי הליבה העסקיים של החברה במצבי חירום (בדגש על עולמות התוכן המרכזיים: משאבי אנוש, שיווק, מכירות, ייצור, שרשרת אספקה), ואת האמצעים לשימור יכולות מערכות המידע שלה לתמוך בתהליכים אלה. עקב החשיבות המכרעת של שימור יכולות התמיכה של מערכות המידע בפעילות החברה, הוגדרה כחלק ממתודולוגיית ה-BCP, מתודולוגיה ספציפית לתחום מערכות המידע ה-DRP. מקרי החירום המרכזיים להם נותנת המתודולוגיה מענה:
– תאונות ואסונות טבע – שריפה, דליפת חומרים מסוכנים, רעידת אדמה, הצפה, סערה משמעותית, הפסקות חשמל
– גורם אנושי – פיגוע חבלני/פלילי, חבלה מכוונת, שביתה, פגיעה במערכות המידע
BCP (ר"ת Business Continuity Plan, תוכנית המשכיות עסקית) היא כאמור תהליך שארגון נדרש לעשות כדי להבטיח שפעילותו החיונית תמשיך לפעול תוך כדי ואחרי אסון. באמצעות BCP, ארגון מבקש למנוע הפרעות של תהליכים חיוניים, תוכנית זו מאפשרת לחדש את שירותי הארגון באופן מלא וחלק ובמהירות מרבית ככל שניתן. בתור התחלה יש לערוך הגדרה ברורה של הצרכים הארגוניים, למפות את התהליכים העסקיים ולעשות את הקשרים ביניהם ובין התשתיות. BCP יעיל יכלול את רוב התהליכים הקריטיים להמשך פעילות הארגון. על מנת לעשות סדר במושגים נבהיר ש-DRP (ר"ת Disaster Recovery Plan, תוכנית התאוששות מאסון) הינה תוכנית התאוששות טכנית המתייחסת באופן פרטני לכל אחת מחטיבות הארגון בהתאם לצרכיה, כחלק מתהליך ה-BCP ארגון יפתח מספר DRP.
המשכיות עסקית באה לטפל בכל מקרה אסון שהוא, ולכן צריך להתכונן בהתאם לצרכי העסק והסכנות האורבות לו (תקלות חומרה / טעות אנוש / תקלת תוכנה / אסונות טבע וכו'). כמו כן, כל ארגון עסקי צריך להחליט כמה הוא מעוניין להשקיע בתכנון ה-BCP שלו בהתחשב בזמני ההתאוששות ובהפסדים שייגזרו מכך – ככל שישקיע יותר, זמן ההתאוששות יתקצר וההפסד יצטמצם, ככל שישקיע פחות יקרה בדיוק ההיפך. האתגר הגדול ביישום BCP טמון בעובדה שלא מדובר במוצר מובהק אלא בשילוב של מספר מרכיבים: מדיניות, כלים שונים, התאמת התרחיש לפתרון, פשטות, מתודולוגיות, וניסיון מצטבר. ב-BCP אסור לשכוח לעדכן את התכנית מידי פעם ולתרגל אותה הרבה פעמים בתרחיש שמאוד קרוב למציאות. אי עדכון התכנית היא נקודת כשל רצינית, כיוון שתהליכים עסקיים השתנו, אנשים התחלפו וכו'.
הבעיה המרכזית במימוש פרויקטי BCP היא האטרקטיביות הנמוכה שלהם, בהיבט עלות מול תועלת. לעיתים נוח להנהלה לטמון את ראשה בחול וגם המנמ"ר היה מעדיף לשדרג את מספר שרתים של הארגון מאשר להתעסק בשאלות של האם ומתי יקרה אסון. המנמ"ר חייב לתפוס את עצמו כחלק מההיבט העסקי בארגון והוא חייב לדאוג שהביזנס ימשיך לעבוד בכל מקרה של אסון.
על פי מחקר של פורסטר (Forrester), ארגונים משקיעים משאבים רבים בתכניות המשכיות עסקית. מנהלי ארגונים מבינים כי זו הדרך שלהם להמשיך ולשרוד, הן בהיבט העסקי והן בהיבט ההלימה לחוקים ולרגולציות. גם בישראל הולכת וגוברת המודעות לצורך ב-BCP – בין היתר כי יש זמינות של טכנולוגיות בעלויות סבירות. אין ספק שהוירטואליזציה תרמה לגידול ביישום BCP וההמשכיות העסקית כבר אינה נחלתם הבלעדית של ארגונים גדולים, אלא היא מחלחלת לארגונים בינוניים.
מה שיכול לקדם את הנושא בישראל ולעודד את המגזר העסקי להשקיע ב-DRP ובתהליכי BCP, זה אם תאושר יוזמה שמתגבשת בוועדת המדע והטכנולוגיה של הכנסת לפיה ארגונים וחברות פרטיות וציבוריות במשק שייכנסו למהלך של היערכות לשעת חירום וישקיעו בתהליכי BCP יוכלו ליהנות מהקלות במס, לאחר שרשויות המס יכירו בהוצאות אלה כהוצאה מוכרת. יו"ר הוועדה לשעבר, ח"כ מאיר שטרית, סבור, שלאור הקריטיות של מערכות המיחשוב והמידע כיום בכל הקשור להמשכיות החיים בעורף בזמן חירום, אי אפשר לסמוך רק על המניע הטבעי שקיים בכל חברה לדאוג לכך שהיא תמשיך לתת שירותים לציבור גם בעת מלחמה ממושכת. לדבריו, לא מספיק לבוא למגזרים או לגופים שונים בדרישה להיערך למצב חירום, כי היערכות משמעותה הוצאה תקציבית שבאופן טבעי לא מתועדפת על ידי גופים שונים, וסביר להניח שהיא שהעלות תגולגל על הצרכן הסופי, זה שצריך לקבל ממנה את השירותים בשעת חירום, אלא צריך להמריץ ולתגמל אותם על השקעה בנושא.
חברת ביטוח פועלת בשוק שמחייב אותה לזמן תגובה מהיר. אופן ביצוע וניהול העסקים שלה עובר שינויים תכופים עקב:
– צרכים עסקיים משתנים, שוק דינאמי ותחרותי
– הוראות רגולציה משתנות
– שרות בזמן אמת לאלפי לקוחות (עובדי החברה, סוכנים)
גם מאפייני מערך המחשוב והמידע של חברת ביטוח הם שונים מאשר בחברה רגילה:
– אונליין כבד בשעות היום, BATCH כבד בלילה
– ערוצי הפצה ישירים לשימוש הסוכנים יוצרים עומסי שיא במועדים מסוימים בחודש
– ניהול כספי הלקוחות מחייב הקפדה יתרה על נכונות החישובים ולכן כל שינוי מחייב בדיקות נרחבות
– רגישות המערכות ש-"חומר הגלם" שלהן הוא כסף מחייב רישום ושמירת פרטי הפעולות והשאילתות ויכולת לאחזר אותן
– המידע המאוחסן בבסיסי הנתונים הוא הנכס של החברה ואין אפשרות להתפשר על שמירתו
בחלק שני נסקור את הטיפול הרחב והכולל שנתנו בחברת הביטוח אליהו להמשכיות עסקית.