Hoeveel meer aanleiding wil een organisatie hebben om kritisch naar de continuïteit van de bedrijfsvoering te kijken dan de situatie waarin we ons momenteel wereldwijd bevinden? Natuurlijk, langzaam maar zeker lijken we terug te keren naar ons vertrouwde normaal. De horeca is gedeeltelijk open, we denken voorzichtig na over de vakantieperiode en wie weet mogen binnenkort ook de sportscholen weer open. Geweldig, maar daarmee is de crisis niet voorbij. Het virus waart nog steeds rond en waar we in Europa misschien een soort van status quo denken te hebben bereikt is het in Zuid-Amerika, Afrika en Azië zeker nog niet zo ver.

Business continuïteit management

Business continuïteit management is het proces in een organisatie dat potentiële bedreigingen identificeert en bekijkt hoe deze impact kunnen hebben op de organisatie. Op dit moment worden organisaties geconfronteerd met een situatie die zich niet eerder heeft voorgedaan. Afhankelijk van de sector waarin de organisatie actief is, varieert de impact van op z’n minst voelbaar tot desastreus. Nadenken over business continuïteit is nu dan ook belangrijker dan ooit. Met behulp van een business continuïteitplan ziet een organisatie in hoeverre zij goed voorbereidt is bij mogelijke calamiteiten. Of dat nu een pandemie is of het verlies van een belangrijke leverancier of opdrachtgever, maar evengoed bij diefstal of natuurgeweld. Bij Solimas helpen wij onze relaties en opdrachtgevers om aan de hand van 4 stappen richting een grondig business continuity plan te komen:

1. Begin met een business impact analyse

Voordat je aan de slag kunt met een BCP zijn er twee belangrijke dingen die vastgesteld moeten worden. Allereerst dien je als organisatie inzicht te hebben in de bedrijfsmiddelen en -processen. Met behulp van een business impact analyse breng je alle bedrijfsmiddelen en processen in kaart, waarbij je kijkt naar de bedrijfsimpact op het moment dat het middel of proces niet beschikbaar, integer of vertrouwelijk is. Met een schuin oog neem je per middel/proces ook de informatie mee, die wordt verwerkt binnen het middel/proces. Dit bepaalt mede de mate waarin een middel of proces kritiek is. Op het moment dat je een business impact analyse hebt uitgevoerd, weet je ook waar de focus van het BCP moet komen te liggen. De focus leg je op de processen en middelen, die voor de organisatie het meeste van belang zijn.

2. Bepaal de risicohouding van de organisatie

Ten tweede dien je als organisatie de risicohouding vast te stellen. Daarbij is het van belang om je af te vragen binnen welke termijn de bedrijfskritieke middelen en processen weer “up and running” dienen te zijn in geval van een calamiteit (ook wel recovery time objective genoemd). Ook dien je te kijken naar de maximaal toelaatbare hoeveelheid dataverlies (recovery point objective). De recovery point objective zegt iets over de frequentie van je back-ups, om te borgen dat bedrijfskritieke informatie behouden blijft. Deze twee indicatoren zijn belangrijke uitgangspunten voor het BCP en bepalen ook de procedures die je hiervoor dient op te nemen. Wanneer je de risicohouding van je organisatie nog moet bepalen, is het van belang om te kijken naar de afspraken die er zijn gemaakt met klanten en leveranciers. De afspraken met leveranciers dienen minimaal gelijk te zijn, dan wel strenger dan de afspraken die je maakt met klanten over deze indicatoren.

3. Stel het BCP op

Wanneer inzichtelijk is gemaakt welke bedrijfsmiddelen en processen kritiek zijn en de risicohouding is bepaalt, kun je als organisatie aan de slag met het BCP. In het BCP beschrijf je welke procedures van kracht zijn in geval van een calamiteit. Deze procedures zijn gebaseerd op een aantal scenario’s die zich voor kunnen doen. Denk bijvoorbeeld aan het ontdekken van een ransomware virus op het bedrijfsnetwerk, waardoor alle bestanden versleuteld zijn. Of het scenario waar we nu mee te maken hebben: de uitbraak van een wereldwijde pandemie. Je kunt onmogelijk een BCP beschrijven op basis van alle mogelijke scenario’s. Leg daarom ook de focus op de scenario’s welke het hoogste risico vormen voor je organisatie. Dat zijn risico’s met de hoogste waarschijnlijkheid en een hoge impact.
In het BCP bepaal je verder de taken, verantwoordelijkheden en bevoegdheden van het emergency response team (ERT), het team dat bij elkaar komt in geval van een calamiteit. Dit team bepaalt ook wie de communicatie verzorgt met de belangrijkste stakeholders. Denk hierbij aan klanten die geïnformeerd dienen te worden, of degene die de pers te woord mag staan in het geval er een groot datalek heeft plaats gevonden.

4. Oefen en test het BCP

De laatste fase is een fase die in de praktijk vaker wordt overgeslagen, maar eigenlijk de belangrijkste is om uit te voeren. Door het oefenen en testen van het BCP, verifieer je of het plan ook werkt zoals dit initieel bedacht is. Het testen van het BCP kun je op verschillende manieren doen, variërend van het testen van de noodstroomvoorziening tot het oefenen van een calamiteit waarbij alle ICT in vlammen is opgegaan. Bij het oefenen en testen van het BCP dien je rekening te houden met de bedrijfsvoering, deze mag geen of beperkte hinder ondervinden van de tests. Verder is het van belang om het oefenen en testen van het BCP met enige regelmaat te herhalen. Op die manier ben je als organisatie beter voorbereid op calamiteiten die de bedrijfsvoering kunnen verstoren in een omgeving die aan verandering onderhevig is.

Meer weten over business continuïteit, risico analyses of een security health check? Neem via onderstaande button contact op met onze Security Consultant Christiaan Koopman!

Neem contact op met Christiaan