Home » Security » Bedrijfscontinuïteit of Business Continuity » Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan

Keuzes en aanpak voor uw Business Continuity Plan BCP of calamiteitenplan

Inhoudsopgave

De scope van uw Business Continuity Plan
Geen preventie maar repressie
De afbakening van het calamiteitenplan of BCP
Stappenplan voor het opstellen van een BCP
Resultaten van een Business Continuity Plan
Risicoacceptatie door de directie

1. De scope van uw Business Continuity Plan

Het grootste probleem bij het opstellen van een Business Continuity Plan of calamiteitenplan is voor veel bedrijven: ‘How to get started?’. In feite kan bij een procesmatige benadering de totale bedrijfsvoering worden meegenomen in het plan en als men uitgaat van de mogelijke dreigingen, dan kan men ook weer het hele bedrijf tegenkomen. Maar dat moet worden voorkomen. Als het afdekken van een risico al is belegd in de organisatie, moet dat niet meer worden meegenomen in het Business Continuity Plan. (Zie ook: ‘Business Continuity of plan bedrijfscontinuïteit: Doe effe normaal’.) Zo vormen bijvoorbeeld de debiteuren het belangrijkste risico voor een faillissement van een bedrijf. Doorgaans echter is het debiteurenrisico al belegd. U zult daarom dus eerst keuzes moeten maken over wat wel en wat niet door uw Business Continuity Plan afgedekt moet worden.

Laten we als eerste stap het begrip calamiteit of crisis maar eens definiëren.

1.1 Definitie van een calamiteit of crisis

Wij hanteren de volgende definitie van een calamiteit of een crisis:

Een calamiteit of crisis is een gebeurtenis die de bedrijfsvoering zodanig in gevaar kan brengen, dat daardoor de bedrijfscontinuïteit in gevaar komt.

Het gaat bij business continuity dus niet om de calamiteit zelf, maar om het effect dat een calamiteit heeft op de bedrijfsvoering, met meestal als belangrijkste issues, dat een bedrijf zijn leveringsverplichtingen niet kan nakomen of een zodanige imagoschade oploopt, dat dit tot verlies van klanten en/of inkomsten leidt.
De directe schade van calamiteiten als bijvoorbeeld brand is vaak wel verzekerd, maar de indirecte schade als het niet meer kunnen leveren conform afspraak, waardoor inkomsten misgelopen worden, is meestal onverzekerbaar. Daarom kijken we naar de risico’s van de effecten van een calamiteit.
In het artikel ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’ werken we uit hoe u de dreigingen voortvloeiend uit calamiteiten in kaart kunt brengen, zonder dat u daarbij genoodzaakt bent alle calamiteiten en de kans dat zij zullen optreden te analyseren.

2. Geen preventie maar repressie

Het Business Continuity Plan richt zich, in tegenstelling tot informatiebeveiliging, niet op preventieve maar op repressieve maatregelen, en wel om twee redenen:

De kans dat een calamiteit niet optreedt is veel groter dan de kans dat die calamiteit wel optreedt. De investeringen in preventieve maatregelen zijn dan ook vrijwel altijd weggegooid geld.
Een gebeurtenis die leidt tot een calamiteit kan zich op een bijna oneindig aantal manieren voordoen. Zo’n gebeurtenis voorkomen via preventieve maatregelen is dan ook nagenoeg onbegonnen werk. De effecten van zo’n gebeurtenis zijn daarentegen veel beter voorspelbaar. Een goede set aan repressieve maatregelen kan voorkomen, dat een ramp uitgroeit tot een bedreiging voor de bedrijfscontinuïteit.

Natuurlijk is het ‘einde oefening’ als er tijdens kantooruren een vliegtuig landt op uw bedrijfsgebouw. Helaas kunt u zoiets niet voorkomen. U moet zich daarover dan ook niet druk maken. De keerzijde van de medaille is, dat een Business Continuity Plan veel eenvoudiger is dan het op het eerste gezicht lijkt. In het artikel ‘Business continuity in de industrie, groothandel en distributie’ wordt hiervan een aantal voorbeelden gegeven.

3. De afbakening van het calamiteitenplan of BCP

Voor de afbakening van een calamiteitenplan geldt over het algemeen de volgende vuistregel:

Tot het BCP behoren alleen die zaken die gericht zijn op het adequaat kunnen reageren op een calamiteit.

De dreiging van een hoge boete voor het niet tijdig rapporteren aan de belastingdienst of aan toezichthouders lost u niet op via een scenario voor wat u in een voorkomend geval moet doen. U zorgt voor preventieve maatregelen in de lijnorganisatie, waarmee te late rapportage wordt voorkomen. Hetzelfde geldt voor een service desk van een ICT-afdeling. Het oplossen van een incident, eventueel na escalatie naar de tweede- of derdelijns support, behoort tot de reguliere bedrijfsprocessen van de IT-afdeling. Pas als een tijdige oplossing van het incident niet mogelijk is, kan besloten worden dat er sprake is van een calamiteit. Op dat moment is de oplossing van het incident niet meer het issue, maar het herstel van de dienstverlening aan de klant volgens een noodscenario met uitwijk voor de functies die vanwege het incident zijn geblokkeerd, waardoor dus de afgesproken dienstverlening onmogelijk is geworden.

We maken daarom onderscheid tussen ‘oorlogstijd’ en ‘vredestijd, zoals in bovenstaand plaatje is weergegeven. Het rechter deel van het plaatje behoort inclusief escalaties tot het gewone bedrijfsproces en is van toepassing in ‘vredestijd’. Alleen het linker deel hoort thuis in het Business Continuity Plan en is van toepassing in ‘oorlogstijd’.
Op dit punt zijn regeringen van ons land geregeld de mist in gegaan. Vaak is beleid in hoge mate gericht op preventie en ontbreekt het onderscheid tussen oorlogstijd en vredestijd. Het gevolg is dan, dat verantwoordelijkheden en bevoegdheden van allerlei instanties door elkaar lopen, daar deze in oorlogstijd anders geregeld zijn dan in vredestijd.

4. Stappenplan voor het opstellen van een BCP

Grofweg kan het opstellen van een BCP uitgevoerd worden volgens de volgende fasen en stappen:

Fase 1

intake met een vertegenwoordiging van de directie of de stuurgroep om het ambitieniveau, de belangrijkste dreigingen, de risicoacceptatie en de voorkeuren voor oplossingsrichtingen vast te stellen;
het in kaart brengen van de hoofdlijnen voor wat betreft kritische diensten en processen, dreigingen (single points of failure) en uitwijkmogelijkheden;
presentatie van de plannen en de globale risicoanalyse in een kick-off meeting, waarbij een definitieve afbakening wordt vastgesteld.

Een toelichting op de uitvoering van deze fase 1 wordt gegeven in het artikel ’Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’.

Fase 2

inventarisatie van kwetsbaarheden op afdelingsniveau, deels via interviews en deels via vragenlijsten;
analyse van relevante processen en procedures en het vaststellen en accorderen van maatregelen;
evalueren uitwijkplan ICT en het zo nodig aanvullen hiervan;
invullen draaiboek met bijlagen en opstellen implementatieplan en de inbedding van het proces in de organisatie;
presentatie concept BCP aan de directie of de stuurgroep.

Een toelichting op de uitvoering van deze fase 2 wordt gegeven in het artikel ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.

5. Resultaten van een Business Continuity Plan

Het Business Continuity Plan moet de volgende resultaten opleveren:

Dat wil dus zeggen:

een draaiboek dat geldt in ‘oorlogstijd’ met diverse scenario’s;
een implementatieplan waarin beschreven staat welke eenmalige en structurele acties er in ‘vredestijd’ nodig zijn om er voor te zorgen, dat het draaiboek in oorlogstijd werkt;
een uitwijkplan voor de ICT-voorzieningen, ook wel calamiteitenplan of contingency plan genoemd.
Vaak wordt dit plan apart opgesteld, omdat veel calamiteiten zich beperken tot de dienstverlening van de ICT-afdeling.

6. Risicoacceptatie door de directie

Nadat in fase 1 de risicogebieden en de diensten en processen in kaart gebracht zijn, wordt dit geheel gepresenteerd aan de directie. (Zie ook ‘Inventarisatie diensten, dreigingen en processen in uw Business Continuity Plan BCP’.)
Met betrekking tot de dreigingen wordt op twee punten de directie om goedkeuring dan wel aanpassing gevraagd:

de inschatting van de ernst;
de beoordeling of er actie nodig is.

Als de directie het risico als zeer hoog inschat, zal zij kiezen voor preventieve maatregelen. Als de directie de ernst van een dreiging laag inschat en zij bij ontbreken van een uitwijk oordeelt dat geen actie nodig is, dan betekent dit, dat zij dit risico accepteert. (Zie ook ‘Uw business continuity plan is een oplossing en geen management systeem’.)
Als het gaat om de diensten en de processen wordt vooral gekeken of het risicomanagement hiervan eventueel al in de organisatie is belegd of dat het een onderdeel van het Business Continuity Plan gaat vormen. Op deze manier kan worden voorkomen, dat straks in het kader van dit project alles binnen de organisatie onder de loep genomen wordt. Vervolgens kan dan gericht het onderzoek in de organisatie voortgezet worden. Een plan voor de uitvoering van deze fase 2 wordt gegeven in ‘Voorbeeld plan van aanpak fase 2 van uw Business Continuity Plan BCP of calamiteitenplan’.
De grootste valkuil is dus, dat u niet eerst de scope van het BCP bepaalt of dat u zich gaat richten op het voorkomen van een calamiteit. Dat kan ertoe leiden dat uw project een veelkoppig monster wordt, waarvoor hoge budgetten gealloceerd moeten worden, die waarschijnlijk weggegooid geld zijn. Natuurlijk heeft u wel een BCP nodig, bestaande uit een draaiboek en een implementatieplan dat er voor zorgt dat de draaiboeken up-to-date blijven. In de Cursus Business Continuity Management leggen we u uit, hoe u dit slim kunt aanpakken.

Oorspronkelijke versie: 25 oktober 2009, herziene versie: 29 april 2010

Download:

Be Sociable, Share!

Gerelateerde artikelen:

Geef een reactie

Je moet inloggen om een reactie te kunnen plaatsen.