Secoz - ניהול המשכיות עסקית של שירותי טכנולוגית המידע

עמוד הבית

אודות

השירותים שלנו

חדשות

ניהול המשכיות עסקית של שירות טכנולוגית המידע

מאת גלעד ירון, סמנכ"ל SECOZ

IT Governance, Risk & Compliance (IT GRC)

בשל חשיבותה המכרעת של טכנולוגית המידע לחלק גדול מן התהליכים העסקיים בארגונים המודרניים, זמינות גבוהה שלה הינה קריטית לעצם קיומם. בשל כך, הבטחת המשכיות פעולתן של המערכות הטכנולוגיות הנה חיונית כדי להבטיח שכל השירותים הדרושים להישרדותו של הארגון (מערכות מחשב, רשתות, בקשות, מחסני נתונים, מערכות תקשורת, סביבה, תמיכה טכנית ומרכז השירות) קיימים, מנוהלים ומבוקרים ברציפות.

התקן המקובל בעולם ניהול טכנולוגיות המידע, ITIL 3.0, טבע מושג חדש – ITSCM – IT Service Continuity Management. תפקידו של ITSCM הוא להבטיח כי ספק שירותי ה-IT בארגון יהיה מסוגל, בכל-עת, לספק את רמת השירות המינימאלית המוסכמת, על ידי הפחתת הסיכונים לרמה מתקבלת על הדעת וליישום של תכנית התאוששות שגובשה מראש לגבי כל שירות IT אשר נפגע.

יעדי ITSCM

ה-ITSCM אמור לטפל בנושאים הבאים:

·         תחזוק תוכניות המשך השירות (IT Service Continuity Plans), ותוכניות התאוששות, התומכות ביעדי תוכניות ההתאוששות (Business Continuity Plans) של הארגון.

·         ביצוע קבוע וסדיר של ניתוחי השפעה עסקית (Business Impact Analysis) כדי לוודא שכל תוכניות ההמשכיות מותאמות לשינויים העסקיים שחלו.

·         ביצוע קבוע וסדיר של סקרי סיכונים וניהול סיכונים במשולב עם תהליכי IT האחראים לזמינות ואבטחת מידע בעלי SLA עסקי מוסכם.

·         מתן הנחיה ועצה לגופים העסקיים והתפעוליים לגבי נושאי המשכיות והתאוששות של שירותי ה-IT.

·         לוודא ולערוב לכך שכל מנגנוני ההמשכיות וההתאוששות שיושמו עומדים ביעדים שהוסכמו או טובים יותר.

·         אומדן השפעת השינויים על תוכניות ההמשכיות ותוכניות ההתאוששות.

·         לוודא שפעולות מניעה מראש (proactive measures) להגברת הזמינות ננקטות ומיושמות במסגרת חישובי עלות-תועלת.

·         להסכים ולחתום על החוזים הדרושים המסדירים את האמצעים והיכולות של הספקים השונים לתמיכה בתוכניות ההתאוששות התומכות בתוכניות ההמשכיות של הבנק.

מה בין BCM ל ITSCM?

בעולם ההתאוששות העסקית קיימים מספר מושגים אשר לא תמיד ברור מה ההבדל בניהם. הבה ננסה לעשות קצת סדר במושגים אלה.

·         Business Continuity Management - BCM מטפל בהמשכיות פעילות הארגון בעת אסון. הוא עוסק בקשת רחבה של אמצעי-נגד ותגובות לאיומים בנושאים כגון כוח-אדם, כספים, ארגון, היבטים עסקיים, בינוי, והיבטי IT. ITSCM מתמקד בנושאים ובתהליכים עסקיים הקשורים ל IT בלבד ומטפל בהם באמצעות תכניות מניעה, צמצום הסיכון, אמצעי-נגד, תגובות והתאוששות.

·         בין היתר מגדיר ותוחם ה-BCM את הדרישות הקריטיות המינימאליות להמשך מתן שירות IT ברמה מוסכמת, ובתנאי פעילות סבירים, בזמן התממשות האיום. ITSCM מנהל ומפקח על ביצוע הדרישות הללו.

·         BCM מחולל ניתוחי השפעה עסקית (BIA) שמגדירים את פוטנציאל הנזק לתהליך עסקי, עקב תרחישי כישלונות שונים, שחלקם טכנולוגיים או קשורים ל IT. ITSCM משתמש בתוצאות ה BIA לתכנון יכולות ההתאוששות.

·         BCM מחולל מסמך ניתוח סיכונים שמכמת איומים (שחלקם טכנולוגיים או קשורים ל IT) לתהליכי ליבה עסקיים. BCM חושף את הסיכונים ומעביר ל ITSCM את אלו הקשורים ספציפית ל-IT. ITSCM משתמש בניתוח הסיכונים לתכנון יכולות ההתאוששות מתאימים לסבירות התממשות האיום. ITSCM אינו מתחשב בכל האיומים וגם אינו מספק פתרון להתאוששות מקסימאלית לכל שירות IT ובכל התנאים. הוא מספק הגנה להמשך שירות ברמה שהוסכמה בין העסק ל IT.

מה בין DRP ל ITSCM?

·         Disaster Recovery Plan – DRP עוסק בשיטות להתאוששותן של מערכות ה-IT של הארגון. המיקוד הוא טכני בהבראתה של מערכת מסוימת ובדרך כלל ללא קשר לצרכים העסקיים, או בהקשר תהלכי שלם.

·         אסטרטגיות DRP כוללות יכולות העתקה (replication), גיבוי/שחזור ושורה של אמצעי מניעה בד"כ ע"י שימוש בחומרה עודפת, תוכנה ייעודית, מרכזי מחשבים כפולים וכדומה.

·         ITSCM מתמקד בהבטחת ההמשכיות של שירותי ה IT ולא בהתאוששות של רכיב או מערכת ספציפי. ITSCM עוסק בפריסת תהליכים, כוח אדם, וטכנולוגיה במגוון היכולות שמבססות המשכיות של שירותי IT יחידים.

·         DRP מתמקד בפריסת טכנולוגיות, כתיבת סקריפטים, ותרגול שנתי לאימון מערכי ה IT.

·         שלא כמו DRP, ITSCM מכסה את כל טווח תרחישי ההתאוששות, מייצר מערכת של סדר פעולות ועץ החלטות, מייצר טבלת אחריויות של אנשי מפתח ותפקידים (RACI) לביצוע, ומגדיר את הממשקים עם תהליכי ITIL אחרים.