אבי ברגר: "מי שלא ייערך לאסון בשגרה – יסבול בחירום"

"ארגון שלא ייערך לאסון בשגרה – יסבול בחירום. מי שלא ייערך ביום יום – הדברים לא יעבדו לו בשעת אסון", כך אמר אבי ברגר, לשעבר מנכ"ל משרד התקשורת וכיום הבעלים והמנכ"ל של AB6C.

ברגר דיבר בכנס BCP/DRP של אנשים ומחשבים, שעסק בהתאוששות מאסון ורציפות תפקודית של ארגונים. הכנס נערך היום (ה') ב-yes Planet בראשון לציון, לעיני מאות משתתפים ובהנחיית יהודה קונפורטס, העורך הראשי של הקבוצה.

בדבריו ציין ברגר כי "אחת הביקורות שהועברו עלינו, במשרד התקשורת, בעיתונות הייתה למה קבענו שחברות חייבות לבצע גיבוי למען המשך הרציפות התפקודית שלהן. אחרי מה שקרה באחרונה בחברת החשמל (כשגשמים הובילו לניתוקי חשמל של שעות וימים לבתי אב רבים – י"ה) אני אומר שזה הדבר הטוב ביותר שעשינו".

הוא ציין ש-"כלל הארגונים צריכים להיערך לאסון. השאלה היא לא האם הם צריכים לעשות זאת, אלא איך".

ברגר ענה לשאלה הזאת באמרו כי "קודם כל, יש להגדיר מטרה ברורה – מה הארגון רוצה להשיג כשהוא נערך? אחרי הגדרת המטרה צריך לבנות את תמונת המצב הכללית ביותר בתחום ולכלול בה מידע כמו המצב של ארגונים אחרים, איך הם נערכים. בהמשך יש להגדיר את האיום ואת תרחיש הייחוס, ולנתח את הפער בין המצוי לרצוי ואת הסיכונים. יש למפות את המערכות ואת הסביבה של הארגון ושל המתחרים, וליצור תוכנית היערכות ארוכת טווח".

"השלב החשוב ביותר – הגדרת המטרות"

"הגדרת המטרות היא השלב הכי חשוב בתהליך", אמר ברגר. "ראשית, יש לה השלכה על ההוצאה. אי אפשר להוציא חצי מיליארד שקלים על DRP אם זה יפגע בשורה התחתונה של החברה. יש לזה גם השלכות על רמת השירות – בשגרה ובחירום".

הוא הוסיף כי "יש לוודא רציפות של כלל שירותי הארגון – צריך לגבות כל דבר ולבדוק את כל התהליכים העסקיים של הארגון, כדי לוודא שהם מתקיימים בחירום. הגדרת מטרה כזאת היא השקעה מאוד גדולה בכל רחבי הארגון".

"צריך לבצע את בניית המצב הכללית ביותר לתחום – להבין את המתחרים, כמה יש, מה ההשלכות ההדדיות בין החברות, ההכנסות שלהן, האם הן נערכו ל-BCP/ERP או לא ועוד. יש לקחת בחשבון שגם הספקים והלקוחות חווים בעיות גיבוי", אמר.

אחד הדברים הנוספים שעל ארגון לעשות הוא, לדברי ברגר, "להבין את הפרופורציה של כל מצב חירום ולחזות מה יקרה לחברה אם היא לא תהיה מקושרת לאינטרנט. חשוב גם לקחת בחשבון שייתכן מצב שבו דבר מה שקורה בחברה אחרת, למשל מתקפת סייבר, ישפיע על הארגון, באמצעות קישורים שונים".

"כמו כן, צריך להגדיר האם האיום חמור או קל, ולהתכונן הן לפגיעה פיזית – אירוע ביטחוני, אסון טבע וכדומה – והן לפגיעה לוגית, כמו אירוע סייבר", אמר. "בסיומו של התהליך, יש לבצע בדיקה האם הוא השיג את מטרתו והוא אמנם מוכן להמשך הרציפות התפקודית גם בשעת חירום".

משם עבר ברגר לשאלה מה עושים כשבר קורה נזק. הוא המליץ "להתמודד קודם כל עם הנזק באתר הליבה, כי יכולה להיות לכך השפעה כוללת על הארגון, מה שלא חייב שיהיה בנקודת קצה".

ככלל, הוא מציע לארגונים לבנות תוכנית היערכות, שמאפשרת להבין את החשיבות והדחיפות של כל פרט ואת הקלות או הקושי ביישום הדברים, כדי להבטיח את המשך הרציפות התפקודית. ברגר ציין כי חשוב שתהיה בתהליך מעורבות לא רק של הדרגים הטכניים, כי אם גם של ההנהלה הבכירה של הארגון.