סוניה פיסרב, מנהלת יחידת הייעוץ ב- Energy Team
הצורך בהמשכיות עסקית ובתכניות להתאוששות מאסון (BCP- Business continuity plan) מתגבר מיום ליום ככל שרמת האיומים גוברת. כל מנכ"ל יישן טוב יותר בלילה אם הוא יידע שבמקרה אסון העסק שלו ימשיך לתפקד והתהליכים הקריטיים של הארגון ימשיכו לעבוד.
תכנית המשכיות עסקית של ארגון כוללת בתוכה נדבכים רבים, כשהנדבך הטכנולוגי (DRP- Disaster recovery plan) הוא רק אחד מהם. על מנת להבטיח המשכיות של תהליכים קריטיים נדרש לדאוג לא רק למערכות המידע התומכות את התהליך אלא גם לזמינות העובדים במקרה חירום, למקומות העבודה של העובדים והיכולת שלהם להתחבר מרחוק למערכות החברה, להמשך הקשר והעבודה השוטפת מול ספקים ואספקטים רבים נוספים. עם זאת, עם התגברות ההסתמכות של כולנו על תהליכי עבודה אוטומטיים ודיגיטאליים, ה- DR מהווה את אחד מעמודי התווך המשמעותיים והמורכבים של כל תכנית המשכיות עסקית.
קיימות רמות שונות בהן ניתן לממש פתרון DR, כתלות בצרכים של הארגון, ברמת הקריטיות של המידע והתהליכים ובהשקעה הכלכלית אותה הארגון מוכן לספוג על מנת להבטיח את זמינות המערכות שלו. הרמות השונות נעות בין חוסר DR, DR בסיסי הכולל רפליקציה של המידע בלבד, גיבוי המערכות ברמת המתקן הראשי, הקמת מתקן DR נפרד במיקום מרוחק והפעלת המערכות בתצורות שונות (Active-passive, active-standby, active- active).
קיימים ארגונים המחויבים רגולטורית להקמת מתקן DR ואף החזקה של עותק שלישי של המידע באתר נוסף (דוגמת בנקים וחברות אשראי) אולם ברב הארגונים עניין ה- DR נתון להחלטת הנהלה בהתאם לשיקולים הפנימיים והצרכים של הארגון. כאשר הארגון עומד בפני ההחלטה של הקמת DR למערכות המידע שלו, עולה הצורך במתן תשובות לשאלות רבות ומורכבות:
מהם התהליכים הקריטיים אותם הארגון נדרש לשמר במקרה אסון? מהן מערכות המידע התומכות את התהליכים הקריטיים של הארגון?
מהם איומי הייחוס מולם הארגון נדרש להתמודד?
מהם ה- RTO (Recovery time objective) וה- RPO (Recovery point objective) אותם הארגון מגדיר לעצמו? כלומר- כמה דקות/שעות השבתה הארגון מוכן לספוג עד להתאוששות המערכות וכמה מידע הארגון מוכן לאבד במקרה של אסון? האם פרמטרים אלו אחידים לכלל מערכות המידע או שקיימת גרנולריות ע"פ רמת הקריטיות של המערכות?
מה מצב מתקן המחשוב הראשי של הארגון? האם הוא נבנה בסטנדרטים המקובלים כיום בתעשייה? מהי רמת המיגון שלו? האם קיימת שרידות של הרכיבים ברמת המתקן?
האם מבוצעת כיום רפליקציה כלשהי של המידע לאתר מרוחק? באיזו תדירות?
האם הארגון מחויב רגולטורית לרמת גיבוי מסוימת?
מהו נפח האחסון הנדרש לגיבוי ומהן יכולות המחשוב הנדרשות על מנת לתמוך במערכות המידע הקריטיות?
מהי החלוקה הקיימת כיום בין שרתים וירטואליים לפיזיים? האם יש צורך מוחשי בשרתים פיזיים או שניתן לבצע עבורם תהליך PtoV?
לאחר שניתן מענה לשאלות אלו ונוספות, ניתן לבחון את החלופות השונות העומדות בפני הארגון להקמת פתרון DR.
ניתן לחלק את מרחב החלופות לארבע קבוצות עיקריות:
הקמה עצמית של אתר מחשוב משני ע"י שכירת שטח, הקמת החדר וכלל התשתיות הנדרשות, שכירת קווי תקשורת והקמה ותפעול עצמי של מערכות המחשוב.
הקמת מתקן המחשוב המשני באתר אירוח של ספק מחשוב. במקרה זה החדר וכלל התשתיות האלקטרו-מכניות מסופקות ע"י הספק והלקוח רוכש מקים ומתפעל את מערכות המחשוב עבור עצמו.
הקמת סביבת מחשוב משנית בענן ציבורי (דוגמת Azure אוAWS ).
הקמת סביבת מחשוב בענן פרטי של ספק מקומי כשרות (DRaaS ) כאשר הפעלת ותפעול המערכות מתחלק בין הספק ללקוח ע"פ קריטריונים ודרישות שיוגדרו ביניהם במעמד ההתקשרות.
בחירת הפתרון הנכון עבור הארגון הינו תהליך מורכב הכולל השוואה של החלופות האפשרויות בפן הכלכלי ובפן האיכותי.
על מנת לבצע השוואה כלכלית יש לקחת בחשבון את הצרכים הקיימים כיום (יכולות וצרכי מחשוב, אבטחת מידע, ציוד וקווי תקשורת וכו') ואת דרישות הגידול וההרחבות לאורך השנים. יש לקחת בחשבון את כמות השנים עליהן רוצים לבצע את ההשוואה, החלפות ציוד שיידרשו בתקופה זו, הרחבות אחריות, דרישות כ"א וניהול פרויקטאלי וגורמים נוספים. בסוף תהליך ההשוואה ולאחר ביצוע תחשיב מדויק מתקבלת הערכת עלויות של כל אחת מהחלופות וניתן להבין מהו הפתרון הנכון לארגון מבחינה כלכלית.
הפן האיכותי של השוואת החלופות לוקח בחשבון פקטורים שאינם כלכליים, כגון- איזה כח אדם עומד לרשות הארגון לצורך הקמת ותפעול הפתרון? האם יש דרישות רגולטוריות שמגבילות את הבחירה (כגון איסור הוצאת מידע לחו"ל)? האם הארגון מעדיף לבצע תפעול עצמאי של המערכת או להוציא את התפעול למיקור חוץ? האם לרשות הארגון קיים מבנה המאפשר הקמה עצמית של הפתרון או שתידרש שכירה של שטח והקמה של חדר מחשוב חדש מאפס. לאחר המענה על שאלות אלו ואחרות ניתן לבחור את החלופה המתאימה ביותר לצרכים.
השקלול של ההשוואה האיכותית והכלכלית ייתן בסופו של דבר את התשובה לשאלה- מהו פתרון ה- DR הנכון ביותר עבור הארגון?
לאחר קבלת ההחלטה על אופן מימוש פתרון ה- DR מותנע פרויקט הכולל בתוכו תהליך מכרז ו/או בחירת ספקים, התקשרויות, רכש והקמה של אתר הגיבוי. בסיום ההקמה נדרש לגבש נהלים להפעלת אתר ה- DR ולבצע סט תרגולים לאתר לבחינת תקינות המערכות ותהליכי העבודה.
חברת Energy team מתמחה בהובלת תהליכי מימוש DR לארגונים על צרכים שונים ובסדרי גודל שונים. בשנים האחרונות הובלנו עשרות פרויקטים מול מגוון לקוחות בשלבים השונים של התהליך- משלב בחינת הצרכים ובחירת החלופה הנדרשת ועד לליווי ההקמה וביצוע תרגילים.