הבלוג של JetServer

לאסונות בתחום העסקים ובתחום המחשוב יכולים להיות גורמים שונים, אותם ניתן "לחלק" לקטגוריות:
• מעשה ידי אדם (מתקפות סייבר, התקפות טרור, נזק פיזי מכוון/לא מכוון, טעויות אנוש)
• אסונות טבע (רעידות אדמה, שטפונות, מכות ברק, שריפות, צונאמי, התפרצויות סולאריות)
• כשלים טכנולוגיים (הפסקות חשמל, התרסקות מטוס, תאונות דרכים)
• כשלים בתשתיות (התמוטטות של מבנה, נחשול מתח פתאומי)

התאוששות מאסון, או Disaster Recovery (ר"ת – DR), מתארת את יכולתו של ארגון, עסק, חברה או גורם אחר כלשהו לחזור לפעולה שוטפת (או לפחות לתפקוד רציף) וליכולת אספקת שירות אחרי פגיעה מאסון, ומתמקדת בעיקר בשיקום התשתיות עליהן פעילותו של הארגון מתבססת.

כל ארגון פועל באופן שונה, ולכן, לכל ארגון פעילות שמתבססת על תשתית שונה (או קצת שונה). עם זאת, באופן כללי, פעילותו של כמעט כל ארגון מתבסס על תשתיות כמו:
• הרשתות ודרכי התקשורת של הארגון (פנימיות וחיצוניות)
• המערכות (פיזיות או וירטואליות) המאחסנות את קבצי הארגון, את בסיסי הנתונים, ואת הקבצים החיוניים לתפקוד ולעבודה
• השרתים המריצים את המערכות, אתרי האינטרנט והאפליקציות של הארגון

יכולת התאוששות מאסון ניתנת להשגה על ידי מוּדָעוּת לאסונות אפשריים ולגורמים להם, זיהוי הסכנות והנזקים שיכולים להיווצר מהתרחשותו של האסון, והטמעה ויישום של תהליכים ונהלים שהוגדרו מראש (כמו תוכנית התאוששות מאסון), על ידי תפקידים שהוגדרו מראש, כדי למתן את השפעות האסון ולחזור לתפקוד רציף ומלא, בזמן קצר ככל האפשר.

כל ארגון צריך לתת חשיבות גבוהה מאוד ליכולת ההתאוששות מאסון, מהסיבות הבאות:

• המשכיות – פגיעה בהמשכיות העסקית והתפעולית של הארגון תביא להפסדים ולנזקים כספיים כבדים, אשר יכולים להיות בלתי הפיכים.
• שימור לקוחות ומוניטין – לקוחותיו של כל ארגון יצפו כי הוא יוכל לעמוד בהתחייבויותיו, וכי יוכל לעמוד איתן ולהתאושש גם במקרה של אסון (על אחת כמה וכמה כזה שנוגע לכספם או לנתונים שלהם).
• עלויות – לא רק ההפרעה לפעילות עולה לארגון כסף, אלא גם תהליך ההתאוששות עצמו. תהליך מהיר ויעיל של התאוששות מאסון יתאפיין בחיסכון כספי רב, ואף יציל את הארגון מקריסה מוחלטת.

יש מספר בלתי מבוטל של צעדים אשר באמצעותם בהם תוכלו לנקוט כדי להתאושש מאסון במהירות וביעילות, ולשמור על רציפות עסקית. אנו ממליצים ליישם לפחות שלושה מהצעדים הבאים:

1. 1. גיבויים – גבו את הנתונים שלכם באופן רציף ותדיר, ואחסנו אותם במקום בטוח, מוצפן ונגיש. תנו עדיפות לנגישות מרחוק.
2. 2. תמונות מערכת (Snapshots) – צרו "תמונות מערכת" (Snapshots) אחרי כל שינוי חשוב במערכות שלכם, אך זכרו שתמונות מערכת אינן גיבוי מערכתי מלא.
3. 3. אתר "חם" – שמרו עותקים מלאים של המערכות שלכם, ואחסנו אותם במקום שמוגן מאסונות פיזיים. במקרה של אובדן מערכות, תוכלו לשחזר את העותקים במהירות ולחזור לפעילות מלאה.
4. 4. אתר "קר" – אתר קר הוא למעשה איזור פיזי משני, אליו תוכלו להעביר את הפעילות שלכם (עובדים, מחשבים ונכסים פיזיים), וממנו הם יוכלו להמשיך לפעול במקרה שהמבנה בו אתם פועלים ניזוק ברמה שלא ניתן לעבוד ממנו.
5. 5. אמצעי הגנה פיזיים – השתמשו במערכות כיבוי אש, מערכות גיבוי לחשמל, מערכות אל-פסק, וכדומה.
6. 6. שירותים חיצוניים – שקלו את אפשרות השימוש בחברות BaaS (גיבוי כשירות – Backup as a Service) ו-DRaaS (התאוששות מאסון כשירות – Disaster Recovery as a Service) כדי "לכסות את כל הפינות" בתשלום, כך שתוכלו להמשיך בפעילותכם בראש שקט.
7. 7. וירטואליזציה – השתמשו בטכנולוגיית הוירטואליזציה (למשל, שרתים וירטואליים פרטיים – VPS) כדי ליצור עותקי גיבוי פעילים ומשניים של המערכות שלכם, מהם תוכלו לפעול אם המערכות שלכם אינן מתפקדות.

תוכנית התאוששות מאסון (או DRP – ר"ת Disaster Recovery Plan) היא תוכנית מסודרת בעלת שלבים מתועדים, אשר מתווה תהליך מאורגן להתאוששותו של ארגון במקרה שנפגע מאסון, בכל הנוגע לתשתיות IT, יישומים, אפליקציות, נתונים ומידע. מטרתה היא לצמצם ככל הניתן את הזמן בין התרחשות האסון עד להתאוששות המלאה של הארגון ממנו, ולאפשר לארגון להפחית את זמני ההשבתה ככל הניתן.
תוכנית התאוששות מאסון לוקחת בחשבון מספר משתנים, כמו תפקידים שונים ב"שרשרת פיקוד" של הארגון במסגרת ההתאוששות והתהליכים הנדרשים לכך, ייעדים שונים (מגבלות זמן לביצוע תהליכים, "אבני דרך" ומטרות להשגה), גיבויים ושחזורים, תקשורת בין גורמים שונים, רשימות מלאי של נכסים, וכדומה.

תוכנית התאוששות מאסון מספקת מתווה ברור ומוגדר של שלבים ויעדים להתאוששות, ומאפשרת לארגון להגיב בנחרצות ויעילות במקרה של אסון. חשיבותה של תוכנית התאוששות מאסון היא כחשיבות המערכות הטכנולגיות של הארגון – ככל שארגון נתון נסמך יותר על מערכות טכנולוגיות וממוחשבות לשם פעילות רציפה, וככל שהשבתת המערכות הללו שמה את הארגון בסכנת השבתה גבוהה יותר, כך גוברת החשיבות של תוכנית ההתאוששות מאסון.
תוכנית התאוששות מאסון טובה, ואפילו תוכנית בינונית, יכולה לאפשר לארגון לשמור על תפקוד טכנולוגי רציף ולמנוע הפסדים כבדים – ולעיתים, אף השבתה וקריסה מוחלטות.

תוכנית התאוששות מאסון (DRP) – מתייחסת להחזרת מערכות טכנולוגיות חיוניות (IT, תקשורת, מידע ונתונים, וכדומה) לפעילות שוטפת כדי להתאושש מאסון.
תוכנית המשכיות עסקית (BCP) – הנה מקיפה יותר, ועוסקת בהחזרת התפקוד העסקי והשוטף של העסק באופן כולל.

לרוב, תוכנית התאוששות מאסון תכלול שלושה צירים, או שלושה ייעדים מרכזיים וכלליים:

1. 1. מניעה – כל מה שכוח האדם האנושי בתוך הארגון יכול לשלוט בו על מנת להימנע מאסון מלכתחילה, כמו טעויות אנוש, עירנות נגד התקפות סייבר, יישום אמצעי ודרכי אבטחה, וכדומה.
2. 2. ציפיה (מוכנות) – ה"ציפיה" כי אסון עשוי לקרות בכל רגע, ויש להיות מוכנים לקראתו. הציפיה תכלול הערכה מהו האסון שעשוי לקרות, מה יהיו השלכותיו, וכיצד ניתן יהיה להתאושש ממנו במהירות.
3. 3. התמודדות ותגובה (או Mitigation: שִׁכּוּךְ, אִפְחוּת) – כיצד הארגון יתמודד עם האסון, ובאילו פעולות ינקוט על מנת למתן את השפעותיו ולתקן אותן, ועל ידי כך לשמור על פעילות שוטפת בזמן ההתמודדות, ולהביא לחזרה לתפקוד מלא מהר ככל האפשר.

צוות תגובה הוא צוות שאחראי על התגובה במקרי אסון, ועל יישומה של תוכנית ההתאוששות מאסון של הארגון בו הוא פועל. צוותי תגובה מחולקים לתפקידים מוגדרים בהתאם לאסטרטגיית ההתאוששות, לפעילות הארגון ולנקודות עליהן יש להגן.
כאשר מרכיבים צוות תגובה, מומלץ להקפיד על כך שיכלול מומחים בתחומים אשר קשורים ל"שכבות" שעשויות להיפגע במקרה של אסון, ומומחה אחד לפחות בתחום המשכיות עסקית.

1. 1. ניהול סיכונים – הערכת האסונות שעשויים לפגוע בארגון, בהתאם לאופי פעילותו ולתשתיותיו, והגדרת ההשלכות וההשפעות של אסונות אלה על הארגון ועל תפעולו השוטף, במידה ויתרחשו. ניהול הסיכונים יכלול ניתוח מעמיק של סיכונים פיזיים וגיאוגרפיים, ושל סיכונים טכנולוגיים ברמת התשתיות והמערכות של הארגון, כמו גם את ההשפעה העסקית (BIA) האפשרית.
2. 2. הגדרת יעדי התאוששות –יעדי התאוששות הם פרטניים לכל ארגון ולתחומו, ויכללו את המערכות הקריטיות והנחוצות ביותר לתפקודו (כמו אפליקציות ויישומים, מידע, ציוד, מסדי נתונים, מערכות תקשורת וכדומה).
   יעדי ההתאוששות מחולקים ליעדי זמן התאוששות, או RTO (ר"ת Recovery Time Objectives) וליעדי נקודות התאוששות, או RPO (ר"ת Recovery Point Objectives).
3. 3. מיפוי מערכות ותשתיות - תיעוד ומיפוי של תשתיות ומערכות הארגון, אופן פעולתן וכיצד הן מתקשרות ביניהן, על מנת לשחזר אותן במקרה שיושמדו או שלא יהיו זמינות. המיפוי יכלול את הגדרת ותיעדוף המערכות והתשתיות הקריטיות יותר לפעילות העסק, כמו גם את תיעוד התלויות (dependencies) הנחוצות לפעולותיהן של המערכות.
4. 4. הגדרת אמצעי התאוששות מאסון – מהם הצעדים והאמצעים בהם הארגון ישתמש כדי להתאושש מהאסון במהירות, וכיצד. צוות ההתאוששות יגדיר נהלים ושלבים ליישומי הצעדים, וסדרי עדיפויות הנוגעים לביצועם ולמערכות שעשויות להיפגע.
5. 5. תיעוד – התוכנית, על כל פרטיה, תתועד, על גבי מספר עותקים דיגיטליים ופיזיים שיהיו זמינים אך בטוחים בכל עת.
6. 6. בדיקה, בחינה ותרגול – על מנת לוודא כי התוכנית אכן עובדת, ועל מנת להכין את הארגון למקרה בו יהיה צורך ליישמה, יבוצעו תרגולים סדירים של אסונות והפעלת תוכנית התאוששות מאסון. התרגולים יכללו בדיקות ובחינות של תפקודו של הארגון בעת תגובה לאסון ובעת יישום התוכנית.
7. 7. עדכון והסתגלות – התוכנית תעודכן, תשונה ותיערך בהתאם לשינויים בארגון אשר נוגעים למערכותיו הקריטיות, ובהתאם לאיומים חדשים תחתיהם הארגון עשוי לעמוד.

RTO ו-RPO הם סוגים שונים של ייעדי התאוששות, שנועדו לחלק ולסדר את הייעדים השונים על מנת להביא להשגתם ביעילות יתר:
• RTO - ייעדי זמן התאוששות (Revcovery Time Objectives) מגדירים את הזמן המירבי שבו מערכת קריטית לתפקודו של הארגון יכולה להיות מושבתת לפני שהארגון ייפגע.
• RPO - ייעדי נקודות התאוששות (Recovery Point Objectives) מגדירים את הכמות המקסימלית של נתונים ומידע שהארגון יכול לאבד במקרה של אסון.

הייעדים נמדדים בצורה ממוספרת, כאשר RTO-0 ו-RPO-0 הנם ייעדים שלא ניתן להסתדר בלעדיהם, ויש לשמור גיבויים רציפים ו"חיים" שלהם, שניתן להכניס לפעולה באופן מידי במקרה של פגיעה. ככל שהמספר המצורף ל-RTO ול-RPO קרוב יותר לאפס, כך הקריטיות שלו גבוהה יותר, ולהיפך.

חברת Jetserver מציעה פתרונות מתקדמים להתאוששות מאסון, שמיועדים להבטיח את ההמשכיות העסקית שלכם ואת יכולתכם לשחזר את הנתונים שלכם במהירות וביעילות, גם במקרה של אסון ושל מצב חירום.

פתרונות ההתאוששות מאסון שלנו מאפשרים לכם:
• שחזור נתונים מהיר וחזרה לפעילות במהירות גבוהה
• צמצום זמני השבתה למינימום
• ביצוע גיבויים אוטומטיים בתדירות שמתאימה להיקף הפעולה שלכם
• גמישות והתאמה לצרכים האישיים שלכם, והתאמה לדרישות הספציפיות של הארגון
• גיבוי רב איזורי ואחסון גיבויים במספר איזורים גיאוגרפיים, להפחתת סיכונים במקרים של אסון איזורי ולנגישות מכל מקום
• אבטחה והצפנה מוגברות ומותאמות לרגולציות ולצורכי האבטחה שלכם
• ניטור מתמשך לשמירה על זמינות ותקינות הגיבויים שלכם
• חיסכון והמנעות מעלויות גבוהות של הקמת תשתיות מקומיות, הודות לפתרונות DR בענן
• תשלום לפי שימוש וצריכה בפועל