כל יום 11/9 ספטמבר אילוון, יום השנה לאסון התאומים -שהפך לאייקון שיווקי בתחום המוכנות לאסון ולנקודת ציון בתעשיית האחסון והגיבוי- נשכח כמעה השנה. זה פשוט נפל ביום שלפני ערב חג, כולם עסקו בקניות, תוכניות וברכות שנה טובה. כשאנחנו במצב רוח טוב לא מתאים שיזכירו לנו אסונות. כשהתקציב המשפחתי עומד מול איום רציני (מתנות, מצרכים והוצאות החופשה), אין חשק ולא פנאי להתמקד באיומים אחרים.
לרובינו יש פוליסות ביטוח חיים, בריאות, בית ורכב. בכל פעם שמציעים לנו ביטוח חדש, נוסף, עלינו לקחת בחשבון שיקולים כלכליים: לעיתים הפוליסה החדשה תבוא על חשבון הוצאה אחרת או חיסכון מתוכנן. דבר דומה קורה גם בארגונים. ההוצאות הקשורות לתכנון ההמשכיות העסקית הן הביטוח כנגד אובדן מידע, השבתת העבודה והפסקת הפעילות העסקית התלויה בצורה זו או אחרת במערכות ממוחשבות. כמונו, כל ארגון יודע כי הוא חייב להקדיש משאבים ל"ביטוח" המידע, ולמרות זאת, קיימים הבדלים גדולים בדרך החשיבה, במאמצים ובהוצאות המוקדשים לנושא בין ארגון לארגון. בשנים האחרונות תקציבי מערכות המידע נמצאים תחת זכוכית מגדלת, ומנהלי המערכות לא רק שחייבים דיווח מפורט, הם גם נדרשים להתייעל, להשיג יותר הישגים עם פחות כסף. בשנת 2000, כלל הוצאות המחשוב בסקטור הארגוני הגיעו לטריליון דולר בארה"ב לבדה, וכמעט לשני טריליון בעולם כולו. רבות מהוצאות אלו עדיין לא הניבו את ההחזרים המובטחים. סקר עכשווי בין מנהלים בתחום המידע מראה כי ביותר מתשעים אחוז מכל הפרויקטים המתבצעים היום נדרשים הצדקה בהחזר השקעות. פתרונות ההמשכיות
העסקית מתחרים היום עם יישומים עסקיים חדשים, עם פתרונות אבטחה, מיגרציות ועדכונים, פעולות שותפות ותחזוקה, ובעיקר עם תהליכי צמצום הוצאות ה-IT על מנת לצמצם את התקציב כולו. האחראיים על ההמשכיות העסקית בהיבט הממוחשב חייבים להבטיח כי הוצאותיהם יכסו אירועים בלתי צפויים וטכנולוגיות חדישות וחשובות. לגבי אירועים פנימיים או חיצוניים צפויים, הארגונים יוצרים תהליכים ומכשירים עובדים על מנת למזער נזקים ולהתאושש במהירות. הבעיה היא, כמו אצל כולנו, כמה ביטוח נדרש, וכמה עליהם לשלם עליו.
זמינות ארגון ממוצע (לשם דוגמא) שמחשביו אינם זמינים עקב תקלות בלתי מתוכננות במשך 174 שעות בשנה, הוא בעל זמינות של 98%. על פי מדד עלות ה-downtime של גרטנר (42,000 דולר לכל שעה של אי-זמינות של יישום ייעודי חיוני), יש מדי שנה הפסדים של מעל 7 מיליון דולר בעקבות השבתות בלתי מתוכננות. בעבור חברות הנשענות באופן מוחלט על טכנולוגיה, כגון ברוקרים אונליין, פלטפורמות מסחר וחברות מסחר אלקטרוני, הסיכונים יכולים להגיע למיליון או יותר, והדבר הופך את השבתת המחשבים לעניין רציני מאוד. אם אמרנו כי ממוצע הזמינות מתקרב ל-98%, הרי כי 99% זה כבר טוב מאוד, 99.5% מצוין, ו-99.9% - הטובה ביותר. ארגון עם 99% זמינות (נכפיל את הצפי של 87.36 שעות השבתה בשנה ב- 42,000 דולר בשעה), מסתכן ב- 3,669,120 דולר הפסדים! כל אחוז של שיפור בזמינות משתקף בשלושה מיליון דולר ערך. ההשוואה בין עלות התכנון להמשכיות עסקית וערך צמצום הסיכונים יכולים לסייע רבות למנהל מערכות המידע בהחלטות נכונות לגבי הוצאות והצדקת השקעות נוספות בפתרונות המשכיות השירות.
ניתן לבצע ניתוח קצר על מנת לברר אם נעשות מספיק השקעות בהגנה על ההמשכיות.
התהליך כולל שלושה צעדים: א' - הערכת עלות ההשבתה למערכות העסקיות החיוניות. ב' - הערכת הסיכונים, סיכוי התרחשותם והשפעתם האפשרית. ג' - השוואה בין אפשרויות שונות (תוכניות שונות) למניעת השבתה כדי לעמוד על יתרונותיו של כל אחד ולהגיע להחלטה לגבי האפשרות המתאימה ביותר לארגון.
כך, ניתן לייחס את המשקל היחסי המתאים לכל סיכון, פתרון ופרויקט. כך יוכלו גם האחראיים לבצע החלטות רכש בטוחות ולאזן את תקציבי ההמשכיות העסקית מול תקציבי רכש מחשוב אחרים.
בצעד הראשון (הערכת עלויות ההשבתה למערכות ולתהליכים העסקיים החיוניים) | הערכת ההשפעה הכספית של אירועי אבטחה שונים (מאת Alinean, שנת 2003) | איומי אבטחה | השפעה טיפוסית לכל אירוע (בדולרים) | וירוסים | 24,000 | Denial of Service | 122,000 | גניבה או השמדה פיזית | 15,000 | אובדן מידע | 350,000 | גניבת מידע קנייני | 4,500,000 | גישה בלתי מורשית למערכת מבחוץ | 225,000 | גישה בלתי מורשית למערכת מתוך הארגון | 60,000 | התקנה או שימוש בתוכנה או חומרה ללא רישיון | 250,000 | שימוש יתר או לרעה של דואל ואינטרנט מתוך הארגון | 360,000 | פשעים פיננסיים | 4,400,000 |
|
ניתן לחשב את סיכוני זמן ההשבתה על ידי בחינת כל מערכת עסקית וקביעת הערך שכל אחת מהן מספקת לארגון. את הסיכון נוהגים למדוד בכסף לכל שעת downtime, כלומר ההשפעה על היצרנות או הרווחיות הארגונית של שעה זו של אי זמינות המערכת או המידע. במערכות מבוססות טרנסאקציות ההפסדים הפוטנציאליים של ההשבתה יכולים להימדד בהתבסס על מספר הטרנסאקציות בשעת שיא הפעילות, כפול הערך הממוצע של טרנסאקציות לשעה ביממה. (למשל, באתר מסחר אלקטרוני המבצע כ-אלף מכירות בשעה בשיא, וערך הממוצע של המכירות סובב סביב ארבעים וחמישה דולר, ערך שעה של השבתה יהיה 45,000 דולר, ובמידה ותקלה כלשהי תשבית את המערכת למשך חמש שעות, יפסיד הארגון כ-225,000 דולר כתוצאה מן האירוע. היכולת של המשתמשים לבצע את מטלותיהם במערכות פנימיות ותשתיות מעוכבת או מצטמצמת בעת אסון או תקלה. על מנת לחשב את ההשפעה של זמן ההשבתה על מערכות עסקיות פנימיות, לעיתים קרובות משתמשים בערך של רווחיות למשתמש. לכל מערכת מכפילים את מספר המשתמשים ברווחיות לעובד ולשעה. לשם דוגמא, חברה עם מערכת תמסורת הכוללת מספר שרתים בארגון. השרת הגדול ביותר משרת כאלף משתמשים עם רווחיות שמוערכת ב-185 דולר לעובד | הפסד טיפוסי לכל דקה של השבתה בלתי מתוכננת | סוג יישום | הפסד טיפוסי | מסחר / פיננסי | 40,000 $ | שרשת האספקה | 10,000 $ | ERP | 10,000 $ | CRM | 8,000 $ | מסחר אלקטרוני | 8,000 $ | יישום עסקי | 5,000 $ | מסד נתונים | 5,000 $ | תמסורת | 1,000 $ | תשתיות | 700 $ |
|
לשעה (או 350 אלף דולר לעובד לשנה). שעה אחת של השבתת מערכת התמסורת הייתה מסכנת את המערכת בהפסד של 186 אלף דולר רווחיות. אם אסון היה פוגע במערכת וכמו שראינו במקרים רבים לוקח לפחות חמש שעות להתאוששות, הארגון עלול להפסיד כמיליון דולר רווחים פוטנציאליים. למען האמת, הגישה המסורתית יותר נוהגת לחשב את השפעת ההשבתה על פי משכורות, במקום רווחים.
אף על פי, רוב התקלות ישפיעו על הרווחיות, כך שבפרויקטים להמשכיות השירות יש לחשב את הרווחיות לעובד כאשר מעריכים את זמן ההשבתה של התשתיות. ככל שהמערכת לא זמינה במשך זמן ארוך יותר, חמורות יותר התוצאות. תוצאות אלו יכולות לנוע מאובדן של טרנסקציה אחת ועד אובדן של לקוח או ספק. ככל שההתאוששות ממאנת להתרחש זמן רב יותר, נפגעת יותר תדמיתו של הארגון - נזק ממנו לא ניתן תמיד להתאושש. סיכונים בלתי מחושבים אלו קשים לכימות, ופעמים רבות כלל לא נלקחים בחשבון כאשר מנסים להצדיק תקציבי התאוששות מתאימים.
סיכונים איש אינו יודע מה יכתיב גורלו. אם בכלל נתעורר מחר בבוקר, מי יודע מה צופן העתיד עבורנו? אם נחזור למשל ההתחלה, סיכונים שבפניהם עלינו לבטח את עצמנו -את המערכות שלנו- חשוב לקבוע מה סיכויים להתרחש ובאיזו תדירות פוטנציאלית. השלב הבא הוא להעריך את זמן ההתאוששות מאותו אירוע - בהיקפים שונים- במידה והוא אכן יתרחש. בין האירועים הללו נמנים תקלות מערכת, השמדת מידע בשוגג או בזדון, שגיאות אנוש, ואסונות טבע. לזמן ההשבתה הבלתי מתוכנן יכולות להיות סיבות שונות רבות. נדרש מאיתנו להתמקד בכל ההיבטים של סביבת המחשוב והתקשורת,
למזער סיכונים מכוחות הטבע, ליצור תהליכים ונהלים ולהעביר הדרכה כדי לצמצם את סיכון השגיאה ממקור אדם. על הארגונים הממוחשבים להקדיש מחשבה להכנה ולהתגוננות מפני כל מקורות הסיכון הללו, קשה להצביע על מקור אחד תדיר או חשוב יותר או פחות. בעת ההכנה תעמוד מול עינינו יחס
העלות/תועלת של אמצעי ההגנה. לעיתים ההכנות יקרות מאוד, אך תוצאות של אירוע המוצא אותנו לא מוכנים - יקרות בהרבה מהן. בכדי לחשב את הכדאיות, קבוצות המבצעות פרויקטים של המשכיות עסקית מקנות ערכים שונים לפגיעה בסוגים שונים של מערכות וכך ניתן לחשב את היקף המשאבים הנדרשים להשקעה בכל מקרה ולכל מערכת, יישום, וסוג של סיכון.
חלופות לאחר שמלאנו את מצוות "דע את האויב", עלינו לבחור את פתרונות
המנע וצמצום הסיכונים מתוך אלו העומדים לרשותנו, ולהשוות חלופות, על עלויותיהן ויתרונותיהן. חשוב לזכור כי פתרונות להמשכיות עסקית לא נבחרים על פי ה-ROI שלהם בלבד. היתרונות הטכנולוגיים של הפתרונות הפופולאריים ביותר בשוק לא תמיד עומדים ביחס למחיר רכישה, הטמעה ותחזוקה שלהם. כאן מועיל מאוד כאשר הצוות האחראי לבניית תוכנית ההמשכיות העסקית עובד עם "ראש פתוח" ומוכן להשקיע זמן ומאמץ בחיפוש ובחינה של פתרונות אלטרנטיביים, ואפילו שילוב בין פתרונות מדף, על מנת להשיג את התוצאות הטובות והכדאיות ביותר ללקוח.
כל יום 11/9 מדי יום מתרחשים סביבנו מקרים של אובדן מידע. מספר פעמים בשנה זה קורא אפילו לכל אחד מאיתנו, גם אם קשה לנו להודות, אם בקנה מידה קטן, או אם בחומר שלא ברומו של עולם. בחירה
מושכלת של פתרון המשכיות עסקית אמורה להגן עלינו גם מכל אי-הנעימויות הללו של שמירת קובץ ששונה תחת אותו שם כמו הקובץ הישן, של צורך לשכתב מסמך שמחקנו בכוונה, של מציאה ושחזור קבצים שנמחקו על ידי אחרים, ועוד.
"עם הסולם אני אמור לטפס לקומה העליונה ולכבות את השריפה במחסן, אבל גם לעלות רק שלב אחד או שניים ולהוריד את החתול מן הארון" הדוד קונה.
ראו גם :
עלות המידע האבוד |