מערכות מחשב, מערכות אלקטרוניות ומערכות מכניות הן רק חלק מהמערכות בהן משתמשים ארגונים מודרניים מדי יום. למרות שלכל מערכת יש תפקיד חשוב, חלק מהיישומים, התהליכים והמערכות הינם בסיסיים יותר מאחרים ובעלי חשיבות גבוהה יותר לתפקוד השוטף בארגון או בעסק. מערכות אלו הנחשבות לקריטיות עבור ביצוע המשימה מוגדרות על פי קנה המידה הרחב שלהן או האינטגרציה העמוקה שלהן, כאשר ניהול המערכות הללו הוא חלק בלתי נפרד מעצם הישרדותו של הארגון.
אז מהי בעצם מערכת משימה קריטית (MCS)?
מדובר במערכת שהיא חיונית להישרדותו של ארגון. בהתאם לטופולוגיה של החברה או הארגון ולתפקודו הייעודי, דבר נוסף המגדיר את המערכות הללו הוא שהן רחבות במיוחד ומקיפות, בעלות אינטגרציה עמוקה ויסודית בליבת הארגון. מערכות קריטיות לרוב מקשרות ומחברות בין מערכות ויישומים אחרים על מנת לבצע פעולה קריטית ולהשיג מטרות ספציפיות.
אם מערכת קריטית למשימה נכשלת או נקטעת בדרך או סיבה כלשהי, תהליכים ופעולות בארגון יושפעו באופן משמעותי לרעה. דוגמאות למערכות קריטיות למשימה כוללות מערכות בקרה למטוסים, מערכות רשת חשמל ומערכות תקשורת חירום. לא תמיד חיי אדם חייבים להיות מונחים על הקו, אך עם זאת, ארגונים ועסקים רבים תלויים במערכות אלה על מנת לבצע את עבודתם בצורה מיטבית אשר תניב ערך לארגון או העסק.
מערכת יכולה להיחשב קריטית למשימה כאשר מתקיים אחד מהתנאים הבאים:
- חיי אדם או בטיחותם נמצאים בסיכון.
- נתונים או מידע בארגון נמצאים בסיכון.
- הצדדים המושפעים כפופים להוצאות משפטיות, רגולטוריות או כספיות.
- המוניטין של הארגון או החברה מושפע לרעה באופן משמעותי.
- פונקציות ויישומים עסקיים קריטיים מושפעים.
ניהול מערכת קריטית
זיהוי והגדרה של מערכות כמערכות קריטיות חשוב מאוד בכדי לאפשר ניהול ובקרה יעילים בארגון. ההיררכיות בין המערכות והתהליכים קיימות בדרך כלל על פני תשתית חומרה ומערכות תוכנה כאשר מדובר בארגונים חדשים ומתפתחים המסוגלים ליצור היררכיות אלה בצורה ישירה או בצורה פנימית. מאגרי מידע ושרתי בקרת תהליכים הינם מערכות קריטיות למשימה עבור רוב הארגונים בעלי פונקציות הקשורות בלוגיסטיקה וניהול פרויקטים אינטגרליים ונחשבים לחיוניים עבור תפקודו החלק וצמצום סיכונים בעבודה השוטפת.
למרות חשיבות זיהוי הסיכונים, רק 46% מהארגונים שנסקרו בדו"ח שיזמה חברת ERM לאחרונה הם בעלי הצהרת מדיניות לניהול סיכונים.
לדוגמה, יש להגן על מרכזי נתונים, שרתי ומסדי הנתונים ורשתות עסקיות מכל תרחיש שעלול לגרום לאובדן נתונים או פונקציות עסקיות מרכזיות. בין אם מדובר במתקפת סייבר, הפסקת חשמל או חומרה לקויה, יש צורך בניהול שקול בכדי להבטיח את תפקודו החלק ולהגיע תוצאות.
קישוריות מוגברת בין ממשקים שונים פוגע מאוד באבטחתם, ומשפיע גם על מערכות קריטיות. על פי דו"ח שפורסם לאחרונה ב-Edgescan, 19% מכלל הפגיעות באבטחת הממשקים בשנת 2018 היו קשורות ליישומי אינטרנטים, ו -81% נבעו מפגיעותה של הרשת.
ניהול מערכות קריטיות כרוך בגישה שקולה ואטרקטיבית הכוללת: זיהוי, הערכת מערכות יחסים, יישום וניתוח.
- זיהוי – נעשה ע"י הערכה ותרשים של ההיררכיה בין המערכות והאינטגרליות בינהן בארגון. אם צריך לקבל החלטה מסוג טריאז' להסיר או לעכב מערכות מסוימות, יש לבודד תהליכים קריטיים למשימה ולדאוג לגיבוי סדיר.
- מערכות יחסים – מערכות היחסים בין מערכות ממופות עם הנתונים הנלקחים לטובת מדידת פוטנציאל השפעה של סיכונים ספציפיים. ניהול מערכות קריטיות אלה מודד סיכונים ספציפיים על סמך האינטראקציה בין המערכות וחשיבותן לארגון.
- יישום – ניהול מערכות לניהול משברים הוא תהליך מתמשך, כאשר נתונים ותהליכים עסקיים חדשים צריכים להיות משולבים עם תקני האבטחה הקיימים. שירותי תמיכת IT ממלאים תפקיד מרכזי בהבטחת האבטחה וביצוע הלוגיסטיקה. לכן, בכל פעם שצריך לבצע שינויים, חשוב להיות מודעים למערכות קריטיות בהיקף רחב או בסיסי.
- ניתוח – ניטור בזמן אמת ודיווח מדויק משמשים לניתוח סיכונים אמיתיים ואפשריים. לאחר מכן מיושם ניהול הסיכונים כך שכל הצדדים והמערכות השונות יוכלו לעבוד יחד בהתאם למסגרת ניהול הסיכונים שנקבעה. דיווחים שוטפים וביקורות של ספק שירותי IT חיצוני יכולים לספק תובנות חשובות.
מעצם טבעם, מערכות לניהול משברים (MCS) הן חלק בלתי נפרד מבריאותו ויכולתיו התפעוליות של העסק או הארגון שלכם. על מנת לנהל את הסיכונים ביעילות בעולם המחובר והעשיר בנתונים של היום, חשוב לזהות ולנהל בצורה מיטבית את כל המערכות המגדירות את הארגון שלך.