|
info@chief-group.com
|
|
האסון הגיע – איך למזער את הנזק?
ב- (MITSY
(More IT to Serve You
דווקא כן בחרו להתייחס ליום הזיכרון של 11 בספטמבר. במיטסי, כל יום
הוא 12 בספטמבר.
"בחירה נכונה לפני"
בעידן
בו אנו חיים מבסס כל ארגון עסקי את פעילותו על רמות שונות של אמצעי
מחשוב. המחשב נמצא גם בחלק גדל והולך של משקי הבית. המידע האגור
במחשבים הופך לנכס היקר ביותר בחברה עסקית ולגורם שאין לזלזל בו במשק
הבית.
כל
ארגון, במיוחד לאחר האסון הנורא בארה"ב לפני כשנתיים, ביצע פעולות
להרחקת הסכנה. אם נקרא את נתוני הסקר של חברת המחקר
גרטנר, שפורסם לפני כחודשיים, הרי מרבית
הפעולות, ברמת המנהלים הן להדחקת הסכנה יותר מאשר להרחקתה. מומחי
גרטנר מצאו בסקר שנערך בין מנהלים ומנהלי
מערכות מידע בארה"ב ובאירופה שיש הבדל משמעותי בין בעלי התפקידים האלו
בראיית החסינות של הארגון לאבדן המידע.
בעוד
המנכ"לים מעריכים את סיכון הפגיעה בארגונם ב- 14% בלבד, המספר גדל אצל
מנהלי מערכות המידע עד 52% !
ננסה
להתמקד בהמשך על המוכנות ומזעור הנזק במקטע של מערכות המידע.
מוכנות או
פאראנויה?
מהכרת
הנושא מקרוב אנו יכולים להגיד בוודאות שמה שקורה אצל מנהלים בארץ נע על
כל הקשת הרחבה בין שאננות לפאראנויה.
הישראלים הם אלופים בנשיאת הדגל של "לי זה לא יקרה" ומתנהגים בהתאם.
כאשר זה קורה, וידידנו מרפי המפורסם לא ישן אף פעם, זה כואב מאד. בקצה
האחר של קשת המנהלים נמצאים אלו החרדים יותר מדי ומשגעים את הארגון
ואני בטוח שגם שם יש מקום לתקלות.
האמת,
כמו תמיד, נמצאת אי שם באמצע. אסור להיות שאנן לגמרי אבל צריך להבין
שאין מוכנות של 100%.
כאשר יודעים מה האמצעים
שצריך לנקוט כדי להכין את הארגון, המגבלה העיקרית היא תמיד התקציב
הנדרש לכך. בתקופה קשה כלכלית כמו זו בה אנו נמצאים עתה, ארגונים רבים
מחפשים דרך לחסוך ולהקטין את תקציב מערכות המידע. דרישות המוכנות לאסון
וההכנות להתאוששות מהירה הן המקום בו "נוח" לחסוך.
בהרבה חברות עסקיות,
במיוחד הקטנות והבינוניות, אנו מוצאים שהבעיה איננה שדרוג מערכת קיימת
אלא בכלל הקמת מערכת.
המציאות של ימינו מראה
שצריך להכין את הקרקע להגנה בפני הרבה סיכונים ידועים ומוכרים. מצד אחד
תקלות כגון כשל מכני, כשל לוגי (תוכנתי), טעות אנוש ומנגד כל אותם
איומים מאנשים או גופים לא לגמרי שפויים שחלק מהנאתם בחיים כולל משלוח
וירוסים לכל העולם ללא אבחנה.
החדשות הטובות הן
שארגונים מבינים כיום יותר לעומק את חשיבות ההכנות והיחס בינן למהירות
ההתאוששות מאסון, אם יקרה.
צעדים חשובים
האם
כדאי לבטח את המידע? חברות הביטוח בודאי תכעסנה עלי אבל אם אינך לקוח
גדול שלהן, חבל לשלם עבור ביטוח אבדן המידע. קרא את ה"אותיות הקטנות"
של הפוליסה, תלמד מהקריאה שכדי לקבל פיצוי עבור אבדן המידע תידרש
להוכיח שקיים אצלך גיבוי יומי.......
אמנה
בהמשך מספר צעדי תכנון כאשר ההתייחסות היא למערכת קיימת ועובדת. מובן
שכאשר אנו מתכננים מערכת חדשה, ההגנה יותר פשוטה ובדרך כלל היא קטע
מובנה. הבעיה העיקרית בהקמת מערכת חדשה (וחלקית גם בתחזוקת מערכת
קיימת) היא להגדיר במדויק ככל האפשר את הצרכים ולעקוב באופן מתמיד אחרי
החידושים שמביאה איתה הטכנולוגיה בזרם בלתי פוסק.
אין
חשיבות לסדר ביצוע ההמלצות, אבל כל עוד לא ביצעת את כולן – אתה רק
בהתחלת הדרך להבטחת הגנה על המערכת. גם ההמלצות המובאות כאן אינן עדיין
סוף הדרך.
-
שתי שאלות חשובות הן: "על מי מוטלת הכנת הארגון?
על מי מוטלת בדיקת המוכנות?" רצוי שאלו יהיו אנשים שונים. הרווח
המיידי של המערכת בעת הצורך הוא שיש מספר פעילים המכירים טוב את
המערכת.
-
האם דרוש לארגון פתרון רציפות עסקית מלא? אולי
אפשר להקטין את העלויות הכרוכות בכך ולהסתפק במענה למספר רכיבים
קריטיים במערכת כגון הנהלת החשבונות, מלאי מחסן וכדומה.
-
צעד ראשון לאפשרות של התאוששות מהירה הוא תיעוד של
כל המערכת הקיימת. תיעוד זה יכיל נתונים לוגיים ופיזיים על מבנה
המערכת, השרתים, הנתבים ותחנות העבודה. דאג שיעלו כמה שיותר נתונים
למסמך וישמרו אותם בעותק נייר וגם בעותק
דיגיטאלי במקום מאובטח מחוץ לארגון.
-
תיעוד תהליך הגיבוי והחזרה ממנו:
-
מה מגבים? האם אכן מגבים את כל המידע הנחוץ?
(כדאי לבדוק, צפה להפתעות...)
-
באיזו תדירות מתבצע הגיבוי?
-
באיזו גרסה של
תוכנת הגיבוי משתמשים?
-
איפה נשמר הגיבוי היומי?
החודשי? האם הוא בכספת חסינת אש? האם יש עותק הממוקם פיזית
מחוץ לארגון? האם במיקום זה אכן מוגן ה- IP
של הארגון מגניבה?
-
אם הגיבוי נעשה בעזרת טייפ, האם הוא חדיש מספיק
כדי שבעת צרה נמצא לו תחליף שאפשר יהיה ל"נגן" עליו את הקלטות?
-
האם הארגון שלך מספיק גדול והמידע מספיק חשוב כדי
לקיים אתר חלופי במיקום פיזי אחר? (פתרון טוב ויעיל אבל יקר)
-
האם שמירת המידע אצל צד שלישי על גבי רשתIP
היא פתרון טוב ובטוח לארגון?
-
בהתייחסות לגבוי צריך להבחין בין הנמצא על תחנת
עבודה לבין מידע ייעודי של הארגון הנמצא על שרתים וכן דואר
אלקטרוני המחזיק בקבצים הנלווים הרבה מידע נוסף.
-
בארגון בגודל בינוני ומעלה נמצא תמיד מספר תחנות
עבודה חשובות שמסיבות שונות אינן שותפות למערך הגיבוי. דוגמא טובה
היא המחשב בהנהלת החשבונות המשמש להכנת המשכורות, או המחשב אצל
המנכ"ל עליו שמורים כל החוזים החשובים ביותר... יש לוודא שיחידות
קצה אלו מגובות על ידי המשתמש באופן מסודר. הרבה פעמים אבדן המידע
עליהן יגרום לחברה נזק גדול לאין ערוך מהנזק שיכול להיגרם על ידי
כל תחנת עבודה אחרת.
-
האם הגיבוי נבדק באופן שגרתי לתקינות? יש לקחת
בחשבון שהודעות תוכנת הגיבוי אינן ערובה לכך שהגיבוי אכן יוכל לשמש
בשעת הצורך. הבדיקה הנכונה, שאותה לדעתנו יש לבצע פעמיים בשנה היא
להתייחס אל המערכת כאילו נגנבה, לקחת את הגיבוי ולנסות להעלות אותו
למחשב עם דיסקים חדשים. אם בבדיקה כזו כל המידע נמצא ראוי לשימוש,
היו רגועים לפחות מבחינת איכות הגיבוי.
הצעדים
הראשונים אחרי
נפגעתם? לא נעים, אבל לא נורא....
העצה
החשובה ביותר שאני תמיד נותן לקוחה מחיי היומיום שלנו: קרתה לך, חס
וחלילה, תאונת דרכים? אין לך מה לחפש אצל רופא המשפחה או אצל
הגניקולוג. סע מייד לבית החולים הקרוב וחפש את חדר המיון, שם נמצאים כל
המומחים הנדרשים לטיפול בנפגעי תאונות. יחד עם זאת, כהמשך לאותה
אנלוגיה, יש לזכור שבחדר המיון בבית החולים מופקדים עליך טובי הרופאים,
הם מצוידים במכשור חדיש והסיכוי שתצא בריא גדול יחסית. צריך לזכור שזה
חדר מיון וקיימים גם מקרים בהם החולה צריך ביציאה להיעזר בקביים....
ברמת
העסק הפרטי הקטן או המחשוב הביתי, ברוב המקרים, ההסתייעות בגאון של
השכונה או בבן של השכנה, יכולים רק להעצים את הנזק.
בעסק
שמינה מבעוד מועד עובד אחראי להכנת הארגון לאסון, זה הזמן שאיש זה
יצדיק את כל המשאבים שהשקיע בטרם קרות האסון.
תכנון
טוב של התאוששות לוקח בחשבון את מקרה האסון החמור ביותר האפשרי אך בונה
תכנית התאוששות רב שלבית. תכנית כזו תאפשר גמישות במקרה של אסון קטן
יותר במימדיו.
מכיוון שהאפשרויות לפגיעה הן רבות, אי אפשר לסקור דרך אחת להתאוששות.
הכיוון הנכון הוא לבחון את המקטע שנפגע ולפי זה להעריך את הנדרש להחזרת
המצב לקדמותו. לחילופין, במקרה של נזק גדול, יש להעריך את הדרוש להחזרת
החברה למצב עבודה באופן המהיר ביותר ורק בשלב שני את הנדרש לחזרה לשגרה
מלאה. לפעמים פגיעה מסוימת היא ההזדמנות לא לחדש חלק מהמערך ולנסות
לחיות בלעדיו.
בכל
זאת אפשר לאסוף מספר טיפים חשובים להתאוששות מאסון, בתחום מערכות
המידע:
1.
אם נגרם נזק רב לציוד, צריך להעריך את הזמן
שיידרש לחזרה לשגרה עם ציוד דומה מול הזמן שיידרש לחזרה עם ציוד משופר.
לפעמים, אם הציוד זמין, זו ההזדמנות לשדרוג שחשבתם עליו הרבה זמן ולא
בצעתם משיקולים שונים, בין היתר של ביטול זמן עבודה.
2.
נזקי אש –
2.1.
אם הגיבוי על קלטות והן היו בסביבה חמה,
מחוץ לכספת חסינת אש, מקומן כעת בפח האשפה, הן לא תצלחנה לשום דבר.
2.2.
המידע מאוחסן על הדיסק הקשיח בצורה מגנטית.
החום הרב גורם פחות נזק מהמים של מכבי האש... כמויות המים והלחות
באוויר גורמים מיידית ליצירת קורוזיה וזו מקשה, ולפעמים עושה לבלתי
אפשרי, את תהליך קריאת המידע מהדיסק.
3.
פגעי טבע - אם הדיסק נפגע על ידי ברק, רעידת
אדמה, שיטפון, או פגעי טבע דומים, רצוי לא
לנקות ולא לנסות להפעיל. ניקוי והפעלה לא מיומנים במקרים אלו יגרמו
לאבדן המידע.
4.
שימוש בגיבוי – לכל האמצעים ייתכן תחליף
באופן יחסית מהיר. אפשר לרכוש שרת חדש, תחנות עבודה וכן הלאה. המשאב
היחיד שאיננו חליף במהירות סבירה הוא מידע שלא גובה כראוי. ההתנהגות
במקרה זה שונה מעסק אחד למשנהו. אם אתה מנהל משרד רו"ח, קרוב לודאי
שחלק גדול מהחומר אפשר להקליד מחדש תוך שימוש בעשרות הקלסרים הגודשים
את המשרד. יותר טוב מצבך אם אתה עו"ד. למרבית התיקים שהסתיימו ותפסו
מקום על המחשב, אין לך בכלל צורך. המצב שונה אם אתה מנהל בית מרקחת וכל
המלאי שלך על המחשב, או אם אתה חברת סטארט
אפ שכל ה- IP שלה על
שרת שלא מגיב, חבל על הזמן. גיבוי נבון הוא ראשית חכמה כפי שכבר נאמר
כאן מספר פעמים.
נקווה שלא נזדקק לכך,
אבל בשעת פקודה, התכנון המקדים יוכיח את עצמו ובמקביל צריך לזכור שלכל
פגע יש מומחה בעל ניסיון שיכול לחלץ אותנו יותר מהר ולתת לנו חזרה
אופטימאלית לשגרה."
נשמח לקבל את
תגובותיכם
לשירות שקיבלתם ב-MITSY
|