Operations and Ac.Management Business Control

המשכיות עסקית (BCP)

1) מהו BCP ומדוע הוא נחוץ

BCP (ראשי תיבות של Business Continuity Planning) היא גישה שיטתית המבטיחה את יציבותם של תהליכים עסקיים בכל כשל: החל מכשל במרכז המידע וכלה במשבר הספק, דליפת נתונים או גידול עומס פתאומי.
במוצרים בעלי עומס גבוה (iGaming, fintech, marketwaces), מדובר לא רק בתשתיות - אלא בשמירה על אמון, ציות לחובות רגולטוריות והגנה על הכנסות.

• שמור על זמינות של שירותים ונתונים קריטיים.
• מזעור זמן ההחלמה (RTO) ואיבוד נתונים (RPO).
• להבטיח את יכולת הפעולה של צוותים, תקשורת ושותפים חיצוניים במשבר.
• תקן תגובת צוות ואימונים.

2) רכיבים עיקריים של BCP

1. BIA (ניתוח השפעה עסקית) - להעריך את ההשפעה של כשלים על תהליכים ועסקים.
2. סיכונים ותרחישים הם מטריצה של איומים (תשתית, חיצוני, אנושי).
3. יעד RTO/RPO - מטרות התאוששות ואובדן.
4. תוכנית חילוץ (DRP) - צעדים מפורטים כדי להפעיל מחדש מערכות ותהליכים.
5. תקשורת - ערוצים פנימיים וחיצוניים, תבניות הודעה.
6. בדיקות ושינויים. בדיקות רגילות, תרגילים, ניתוח שלאחר ניתוח.
7. תיעוד ובקרה על גירסה - גישה מרכזית ורלוונטית.

3) ניתוח השפעה (BIA)

ה-BIA קובע אילו תהליכים קריטיים וכמה מהר יש לשחזר אותם.

1. רשימת כל התהליכים העסקיים (תשלומים, הימורים, משחקים, KYC, תמיכה).

2. הגדר תלויות (שירותים, נתונים, ספקים, עובדים).

3. הערכת השפעת כישלון: פיננסי, משפטי, מוניטין, תפעולי.

4. הגדר RTO/RPO עבור כל תהליך.

5. עדיפות: ”חייב להיות”, ”צריך להיות”, ”נחמד שיש”.

4) מטריצת סיכון

5) RTO, RPO ורמות ביקורת

מטרת זמן החלמה (Return Time Objective (RTO) - כמה זמן מותר לפני ההחלמה.
נקודת שיקום אובייקטיבית (RPO) - כמה נתונים ניתן לאבד.

6) DRP (תוכנית התאוששות אסון)

המטרה היא להבטיח התאוששות מערכת מהירה ועקבית.

1. זיהוי תרחישים (אסון מרכז נתונים, כשל PSP, פשרת מפתח, אובדן רשת).

2. לכל תסריט, ספר מהלכים מוכן צעד אחר צעד.

3. תמיכה בתשתית DR: אשכולות גיבוי, העתקים של בסיס הנתונים, CDN/Edge.

4. בדיקת RTO/RPO באופן קבוע והליכי כשל.

5. לאחסן את כל ההוראות במאגר נשלט גרסה אחת.

Scenario: EU region falls
RTO: 30 min    RPO: 5 min
Actions:
1. Activate plan DR # EU
2. Switch DNS → AP Region
3. Verify database consistency (replication lag ≤ 60s)
4. Update Status on StatusPage
5. Perform API benchmarking

7) ארגון צוותים ותפקידים

מתאם BCP: בעל תוכנה, מארגן ביקורות ומבחנים.
ד ”ר עופרת: אחראי ליישום הטכני של תוכניות ד” ר.
בעלי דומיין: להבטיח את המשכיות התהליכים שלהם (תשלומים, משחקים, KYC).
צוות תקשורת: אחראי להודעות פנימיות/חיצוניות ופלטפורמות מצב.
HR/Admin: BCP עבור כוח אדם (מרוחק, תקשורת, גישה).
משפטי/ציות: הודעות רגולטוריות ופעולות משפטיות.

8) תקשורת במשבר

• ערוצים נקיים וקשרים מיותרים.
• העדכון הראשון הוא בתוך 15 דקות לאחר האירוע.
• טון תקשורת אחיד, עובדות ומשוער.
• עדכונים כל N דקות עד האירוע נסגר.
• לאחר ההתאוששות - דו "ח ולאחר המוות.

[HH: MM] PSP-X failed. Impact: Deposits in EU region.
Measures: feilover on PSP-Y. ETA stabilization: 30 min.
The next update is at 15:00.

9) בדיקות ותרגולים

בדיקות כשל, התאוששות מסד הנתונים, סימולציות DDOS.
חדרי ניתוח: העברת תפקידים/צוותי החלפת תפקידים.
תרגילי BCP מלאים: תרחיש של הפסקת חשמל או חוסר זמינות.

• בדיקות ד "ר - רבעוניות;
• תרגיל בקנה מידה מלא 1-2 פעמים בשנה.
• תיעוד: תוצאות, סטיות מ-RTO/RPO, פעולות שיפור.

10) מדדים וKPIs

ציות RTO:% מהתהליכים חזרו ליעד.
ציות RPO:% מהתהליכים ללא איבוד נתונים> היעד.
ד "ר מבחן שיעור הצלחה: בדיקות מוצלחות של הליכי התאוששות.
כיסוי BCP: אחוז התהליכים עם תוכניות עדכניות (> 90%).
תקשור SLA: סיכום ראשון, 15 דקות, עדכוני זמן משוער.

100% אירועים קריטיים עם ניתוח של 72 h

11) תיעוד וניהול ידע

אחסון BCP יחיד (גרסאות, בעלים, תאריכי תיקונים).
בקרת גרסה: שינוי לפחות פעם 6 חודשים.
זמינות: עותקים לא מקוונים וערוצי תקשורת גיבוי (כולל טלקום/שליחים מיידיים).
אינטגרציה: התייחסות ל-BCP ב-SOP, תהליכי תקרית ולוחות מחוונים מבצעיים.
סינכרון עם רישום סיכונים ומדיניות אבטחה.

12) 30/60/90 - תוכנית יישום

• זהה בעל BCP ותהליכים קריטיים.
• ביצוע BIA בסיסי וסיווג (RTO/RPO).
• ליצור מטריצת סיכון וקטלוג של תרחישי תקרית.
• פיתחו תבנית DRP וגרסה ראשונה לשירותי עדיפות.

• ניהול בדיקת DR (כשל, שחזור מסד נתונים).
• הכן תבניות תקשורת וחלוקת תפקידים.
• צור מאגר יחיד של מסמכי BCP ושילוב SOP.
• התחילו לאמן צוותים ואנשי צוות בכוננות.

• ערוך תרגיל BCP בין-קבוצתי.
• ביקורת תאימות של מדדי RTO/RPO ו-KPI.
• סיים את התוכנית לתיקון ואוטומציה של תהליכי BCP.
• כלל BCP ברבעונים OKRs וביקורות ביטחון פנים.

13) אנטי דפוסים

”BCP לתכנית בלבד”: אין בדיקות אמיתיות ואין בעלים.
הוראות מיושנות של ד "ר שלא מתאימות לארכיטקטורה הנוכחית.
ערוצי תקשורת לא מאומתים ואנשי קשר.
תלות בלתי מוסברת (PSP, CDN, KYC ספקים).
חוסר שלאחר המוות לאחר כשלונות.
אין גישה לא מקוונת לבי-סי-פי כשהרשת נופלת.

14) דוגמה למבנה מסמך BCP

1. Objectives and Scope
2. Critical Processes (BIA)
3. Risk Matrix
4. Target RTO/RPO
5. DRP (by scenario)
6. Contacts and Roles
7. Communication templates
8. Schedule of tests and exercises
9. Reporting and auditing
10. Version and update history

15) אינטגרציה עם חלקים אחרים

ניתוחים מבצעיים: חדרי ראש והשפלה למקרי מדדים.
הודעה ומערכת התראה: אותות מוקדמים להפעלת נוהלי BCP.
אתיקה ניהולית: דוחות שקופים ומבחנים כנים.
הכנה אוטומטית של סיכומי BCP ורשימות בדיקת DR.
תרבות של אחריות: אימונים, ”ימי משחק”, נקודות מבט לאחור.

16) FAQ

Q: במה שונה BCP מ ־ DRP?
A: BCP - רחב יותר: מכסה אנשים, תהליכים, תקשורת, שותפים ותשתיות. תוכנית טכנית להתאוששות המערכת.

Q: באיזו תדירות אני מעדכן את BCP?
א ': אחרי כל שינוי גדול בארכיטקטורה, תקרית או לפחות 1 בכל 6 חודשים.

קיו: האם אני צריך לכלול שותפים? ‏

א ': כן. PSP, KYC ואולפנים - חלק משרשרת ההמשכיות, חייבים להיות הסכמי OLA ו-BCP שלהם.