Bedrijfscontinuiteit Kleine Stappen en Toch Sneller Thuis (Def)

Bedrijfscontinuteit | Kleine stappen en toch snel(ler) thuis

Afstudeer thesis | Jan Ploeg Master of Security in Information Technology, Tias/Nimbas Business School 16 oktober 2009

Bedrijfscontinuteit | Kleine stappen toch snel(ler) thuis van Jan Ploeg is in licentie gegeven volgens een Creative Commons Naamsvermelding-Gelijk delen 3.0 Nederland licentie.

Bedrijfscontinuteit | Kleine stappen en toch snel(ler) thuisAfstudeer thesis | Jan Ploeg Master of Security in Information Technology 16 oktober 2009

Inhoudsopgave1! Voorwoord ............................................................................................................. 5! 2! Achtergrond en probleemstelling ....................................................................... 7! 2.1! Achtergrond ......................................................................................................... 7!2.1.1! 2.1.2! 2.1.3! 2.1.4! 2.1.5! Pseudo-systematisch................................................................................................... 7! Eerste resultaten laten te lang op zich wachten .......................................................... 8! BCM begint pas echt te leven als er getest/geoefend wordt ....................................... 8! Documenten en plannen vergroten de veerkracht van de organisatie niet ................. 8! BCM is voor calamiteiten en dan gelden andere eisen ............................................. 10!

2.2! Probleemstelling Thesis ..................................................................................... 11! 3! Het thesiswerk..................................................................................................... 12! 3.1! Literatuuronderzoek ........................................................................................... 12! 3.2! Opstellen concept-aanpak ................................................................................. 12! 3.3! Review concept-aanpak..................................................................................... 13! 3.4! Aanpassen concept-aanpak .............................................................................. 13! 3.5! Indeling thesis .................................................................................................... 13! 4! De standaarden, methodieken en codes of practice ....................................... 15! 4.1! British Standard 25999 ...................................................................................... 15!4.1.1! 4.1.2! 4.1.3! 4.1.4! 4.1.5! 4.1.6! 4.1.7! Voorbereiding............................................................................................................. 15! Programmamanagement ........................................................................................... 16! Fase 1: begrijp de organisatie.................................................................................... 16! Fase 2: Continuteitstrategie vaststellen .................................................................... 18! Fase 3: Ontwikkelen en implementeren BCM-reactie................................................ 19! Fase 4: Trainen, onderhouden en evalueren............................................................. 20! Borgen BCM in bedrijfscultuur ................................................................................... 20! 3.2.1! 3.2.2! Vier calamiteiten nader bekeken................................................................................ 12! Concept-aanpak......................................................................................................... 12!

4.2! British Standard 25999 deel 2............................................................................ 21! 4.3! Overeenkomende stappen en elementen.......................................................... 21! 4.4! Conclusies met betrekking tot standaarden, methodieken en codes of practice23!4.4.1! 4.4.2! 4.4.3! 4.4.4! Overeenstemming over stappenplan ......................................................................... 23! Nadruk op serile uitvoering stappen ........................................................................ 23! Weinig of geen aandacht voor de uitvoering van maatregelen.................................. 23! Weinig aandacht voor kosten en baten van maatregelen.......................................... 23!

5! Kleine stappen en toch snel(ler) thuis: de hoofdlijn ....................................... 24! 5.1! Preventie en Fundament.................................................................................... 24! 5.2! Bedrijfscontinuteit Nu!!!! .................................................................................... 25! 5.3! Bedrijfscontinuteit: optimaliseren ...................................................................... 26! 5.4! Projectmatige opzet ........................................................................................... 27! 6! Preventie & Fundament: Voorkomen is beter dan genezen! .......................... 29! 6.1! Preventieve maatregelen tegen brand- en bliksemschade ................................ 30! 6.2! Fysieke toegangsbeveiliging .............................................................................. 30! 6.3! Informatiebeveiliging .......................................................................................... 31! 6.4! Bedrijfshulpverlening.......................................................................................... 31! 6.5! Bescherming personeel (ARBO)........................................................................ 32! 6.6! Producten, processen, verantwoordelijkheden en afhankelijkheden ................. 32! 7! Bedrijfscontinuteit Nu!!! .................................................................................... 34! 7.1! Voorbereiding..................................................................................................... 36!7.1.1! 7.1.2! 7.1.3! 7.2.1! 7.2.2! 7.2.3! Aanpassen calamiteitenmatrix ................................................................................... 36! Processen, producten/diensten kennen .................................................................... 36! Crisismanagement, escalatiemechanisme en BCM-rollen ........................................ 37! De calamiteit vindt nu plaats ...................................................................................... 37! Drie aspecten: huisvesting, ondersteunende systemen en mensen ......................... 37! De calamiteit treedt nu op. Wat doen we? ................................................................. 40!

7.2! Calamiteitenscenario sessie .............................................................................. 37!

2


7.3! 7.4! 7.5! 7.6! 7.7!

7.2.4! 7.2.5! 7.2.6! 7.2.7! 7.2.8!

7.8! De omgekeerde Business Impact Analyse ........................................................ 50! 7.9! Maatregelen doorvoeren en documenten aanpassen ....................................... 52! 7.10! Overleg met klanten en leveranciers ............................................................... 52! 8! Bedrijfscontinuteit Optimalisatie...................................................................... 54! 8.1! Vaststellen gewenste hersteltijden..................................................................... 55! 8.2! Huidige situatie goed in kaart brengen .............................................................. 55! 8.3! Mogelijke maatregelen ....................................................................................... 55! 8.4! Uitvoeren maatregelen, aanpassen bedrijfscontinuteitsplan, testen, oefenen en evalueren..................................................................................................................... 56! 9! Slimme continuteitsmaatregelen...................................................................... 57! 9.1! In nood leert men zijn vrienden kennen ............................................................. 57!9.1.1! 9.1.2! 9.1.3! 9.1.4! 9.1.5! Bouw een goede, duurzame relatie op met klanten .................................................. 57! Bouw een goede, duurzame relatie op met leveranciers........................................... 57! Onderhoud het contact met OOV- en lokale functionarissen .................................... 58! Zorg voor goede contacten met concullegas ............................................................ 58! Ken de verzekeringspositie van de organisatie ......................................................... 58! 8.3.1! 8.3.2! Kosten-batenanalyse ................................................................................................. 55! Besluit nemen voor aanvullende maatregelen........................................................... 56! 7.8.1! 7.8.2! Een andere plek in het BCM-traject ........................................................................... 50! Gerealiseerde hersteltijden in plaats van Recovery Time Objective ......................... 51!

7.7.1! 7.7.2! 7.7.3!

Inrichten Crisismanagementorganisatie............................................................. 42! Inrichten BCM-organisatie ................................................................................. 44! Opstellen bedrijfscontinuteitsplan ..................................................................... 45! Oefenen, testen en doorrekenen ....................................................................... 46! Evalueren ........................................................................................................... 47!Uitwegscenarios........................................................................................................ 47! Crisismanagement- en escalatieplan......................................................................... 47! Conclusies trekken..................................................................................................... 48!

Aandacht voor informatieverlies................................................................................. 40! Aandacht voor financile positie rondom calamiteiten............................................... 40! Aandacht voor communicatie..................................................................................... 40! Aandacht voor crisismanagement en escalatiemechanisme ..................................... 40! BCM-cordinator en BCM-eigenaar........................................................................... 41!

9.2! Juiste verhouding kosten en baten .................................................................... 59! 9.3! Maatregelen die ook hun meerwaarde hebben in het dagelijkse productieproces 59! 9.4! Maatregelen die vooral leiden tot het houden van contact met klanten ............. 60! 9.5! Aandacht voor calamiteiten en hun gevolgen in de algemene voorwaarden..... 60! 9.6! BCM integreren in besluitvorming over aanschaffingen, investeringen, bedrijfsstrategie en risicobeheersing........................................................................... 61! 10! Hou rekening met de kenmerken van de organisatie .................................... 63! 10.1! De zeven organisatiemodellen van Mintzberg ................................................. 63!10.1.1! 10.1.2! 10.1.3! 10.1.4! 10.1.5! 10.1.6! 10.1.7! De ondernemersorganisatie..................................................................................... 63! De machineorganisatie ............................................................................................ 63! De professionele organisatie van Mintzberg............................................................ 64! De gediversifieerde organisatie ............................................................................... 64! De innovatieve organisatie....................................................................................... 64! De missionaire organisatie....................................................................................... 65! De politieke organisatie............................................................................................ 65! 9.3.1! 9.3.2! Digitalisering van bedrijfsprocessen en informatiestromen ....................................... 60! Thuiswerkplekken ...................................................................................................... 60!

10.2! Mintzberg en bedrijfscontinuteit ...................................................................... 65! 11! Beoordeling methode ....................................................................................... 66! 11.1! Review-commentaar ........................................................................................ 66! 11.2! Lost de aanpak de geconstateerde tekortkomingen op? ................................. 66! 11.3! Efficinte inzet van schaarse middelen............................................................ 67! 3


11.4! Hoe scoort een organisatie na het uitvoeren van de aanpak in een BCMvolwassenheidsmodel? ............................................................................................... 67! 11.5! Kan het model ook gebruikt worden voor IT-continuteit?................................ 69! 12! Conclusies met betrekking tot de probleemstelling en onderzoeksvragen 70! Bijlage A! Afkortingen ............................................................................................ 72! Bijlage B! Standaarden, methodieken en codes of practice ............................... 73! B.1! Code voor Informatiebeveiliging NEN-ISO/IEC 27002 ................................. 73! B.2! BSI-Standard 100-4 Notfallmanagement ....................................................... 73! B.3! NIST 800-34 ...................................................................................................... 76! B.4! NFPA 1600........................................................................................................ 76! B.5! PAS 77: 2006 .................................................................................................... 79! B.6! ENISA, Business and IT Continuity ............................................................... 83! Bijlage C! Review-commentaar.............................................................................. 85! Bijlage D! Vier calamiteiten nader bekeken .......................................................... 93! D.1! Brand Timesavers International Goes........................................................... 93! D.2! Brand TU Twente ............................................................................................. 93! D.3! Brand Rijkswaterstaat Lelystad ..................................................................... 93! D.4! Brand faculteit Bouwkunde Delft ................................................................... 94! Bijlage E! Noten....................................................................................................... 95!

4


1 VoorwoordIn het kader van de MSIT (Master of Security in Information Technology) opleiding bij Tias/Nimbas is deze afstudeer thesis geschreven. Het onderwerp van de thesis is bedrijfscontinuteit. Er bestaan (internationale) standaarden, codes of practice en methodieken voor de inrichting van bedrijfscontinuteit in organisaties. Echter, zo is de stelling in dit document, die standaarden lijken allemaal wel erg veel op elkaar, en het vakgebied heeft zich de laatste jaren niet bijster veel ontwikkeld. Daarnaast leiden de conventionele aanpakken niet altijd tot het beste resultaat voor de laagste prijs. Tijd voor een frisse, pragmatische aanpak. Bedrijfscontinuteit gaat om veerkracht. De veerkracht die een organisatie heeft om een calamiteit te kunnen doorstaan en te overleven. De bepleitte aanpak heeft drie centrale uitgangspunten om deze veerkracht zo snel mogelijk en tegen minimale kosten te verhogen: 1. First things first. Begin niet te snel met een BCM-traject, stel vast of de organisatie er wel aan toe is, c.q. kijk of andere activiteiten en maatregelen de veerkracht effectiever verhogen. 2. Als je dan start met BCM-activiteiten ga er dan van uit dat de calamiteit vandaag plaatsvindt. Hoe redden we ons dan uit de ontstane situatie? 3. Voorkom lang durende dreigingen- en business impact analyses. Start niet met door analyse tot stand gekomen gewenste hersteltijden (Recovery Time Objectives), maar ga uit van hersteltijden die je in de huidige situatie kunt bereiken. Wat is vandaag haalbaar en komen we daarmee weg? Een omgekeerde business impact analyse. Rondom deze drie uitgangspunten is een BCM-aanpak ontwikkeld die afwijkt van de standaard aanpakken, de tekortkomingen van die aanpakken opheft en sneller tot resultaat leidt. Daarnaast is een overzicht opgesteld van slimme BCM-maatregelen. Bij een pragmatische, frisse BCM-aanpak past het niet om te komen met een aantal standaard, algemeen bekende, technische, maatregelen die je kunt nemen. Bijvoorbeeld om de redundantie van systemen te vergroten c.q. single points of failure op te heffen. Ook zit niemand te wachten op een overzicht met mogelijke uitwijkfaciliteiten. Waarmee overigens niet de conclusie moet worden getrokken dat deze maatregelen niet van waarde (kunnen) zijn. In dit document wordt aandacht gevraagd voor maatregelen die passen bij een pragmatische, op de praktijk gebaseerde, aanpak. Maatregelen waaraan in eerste instantie vaak niet wordt gedacht, maar wel een aanmerkelijke bijdrage kunnen leveren aan het vergroten van de veerkracht van de organisatie. Het thesiswerk heeft dan wel geleid tot een nieuwe aanpak. En onderzoeksvraag is in voldoende mate beantwoord en vraagt om nader onderzoek. Het gaat hierbij om de onderzoeksvraag welke kenmerken van de organisatie van belang zijn bij het kiezen van een juiste BCM-aanpak. Onderzoeksvraag van dit nader onderzoek kan zijn: Welke kenmerken van een organisatie spelen een rol bij de vraag hoe de bedrijfscontinuteit van de organisatie kan worden zeker gesteld, c.q. welke kenmerken de overlevingskans vergroten c.q. verkleinen. Er zijn een aantal 5


aanknopingspunten gevonden (bijv. op basis van de organisatie-modellen van Mintzberg), maar extra/nader onderzoek is gewenst. Daarnaast is tijdens het thesiswerk de gedachte/behoefte ontstaan om op een grootschaliger wijze te kijken naar organisaties die zijn geconfronteerd met een calamiteit. De indruk is ontstaan dat er ontzettend veel te leren is van de wijze waarop en omstandigheden waaronder organisaties een calamiteit overleven. Het hoofdstuk met slimme continuiteitsmaatregelen is deels tot stand gekomen door te kijken wat er in de praktijk gebeurt. Voor het BCM-vakgebied kan het van groot belang zijn als hiernaar een grootschalig onderzoek plaatsvindt, waarbij een groot aantal organisaties en hun calamiteiten bekeken worden. Het schrijven van een afstudeer thesis is geen activiteit die je op een achternamiddag uitvoert. Overigens geldt dat voor de hele MSIT-opleiding: het kost tijd, energie en doorzettingsvermogen. Maar de toegevoegde waarde van de opleiding is groot. Een aantal bedankjes zijn op zijn plaats. Allereerst Ernst Oud, die mijn thesiswerk heeft begeleid. Hij bleef steeds geduldig wachten op de volgende stap die ik zette tijdens het thesiswerk (dat zoals altijd uiteindelijk veel te lang heeft geduurd). Zijn inhoudelijke reacties op mijn ideen daagden mij uit en leidden bij mij tot de juiste hoeveelheid enthousiasme en energie om de volgende stap te kunnen zetten. Daarnaast mijn ex-collegas Jacques Cazemier en Dick Leegwater. Met hen heb ik vele discussies gehad over BCM en hebben we getracht antwoord te krijgen op de vraag hoe we het vakgebied weer een stukje verder kunnen krijgen. Iedere keer als ik toch weer in de buurt van de oude, vertrouwde, paden van de conventionele BCMo aanpakken dreigde uit te komen was het Jacques die dan snel riep: Hou vol, 90 haaks op de standaarden! Michel Corbeau en Eric Nijboer wil ik bedanken voor de informatie die zij met mij hebben willen delen over de afhandeling van de calamiteiten bij Timesavers International respectievelijk de Unversiteit Twente. Pieter van Hout (Essent), Alf Moens (TU Delft), Ronald van Erven (GBF, Pensioenfonds Grafische Bedrijven), Steven Debets (VKA) en Marc Gillard (VKA) ben ik zeer dankbaar voor het commentaar dat zij hebben geleverd op de concept-aanpak. Dankzij hun reacties heb ik zinvolle aanpassingen en aanvullingen kunnen doorvoeren. De meeste dank ben ik natuurlijk het thuisfront verschuldigd. In de eerste plaats hebben zij het ondersteund dat ik me een aantal keren een weekje heb onttrokken aan het gezinsleven om een impuls te geven aan het afstudeerwerk. Mijn verblijven in dat kader in Roemeni en Itali waren erg effectief. Daarnaast hebben mijn zoontjes Tobias en Michiel de afgelopen maanden de dierentuin in Arnhem aardig goed leren kennen. Zij werden door Mama vaak op zondagochtend meegenomen naar de dierentuin, zodat Papa zijn afstudeerwerk, eindelijk, eens kon afronden. Catrin, dank voor het geduld en de steun. Ik hoop dat ik met de uitkomst van dit thesiswerk een bijdrage kan leveren aan de verdere ontwikkeling van het vakgebied BCM. De uitkomst zal vast ook tot discussies leiden in het Nederlandse wereldje van BCM-adviseurs en -officers. Ik ben graag bereid die discussies aan te gaan, want de verhoging van veerkracht binnen organisaties is gediend met een nieuwe, pragmatische benadering.

6


2 Achtergrond en probleemstelling2.1 Achtergrond

In de afgelopen jaren heeft de auteur van dit document een aantal BCM-trajecten begeleid. Tijdens deze adviestrajecten is een aantal tekortkomingen geconstateerd met betrekking tot de aanpakken die doorgaands worden gehanteerd. Ook in gesprekken met collega-adviseurs en BCM-functionarissen komt nogal eens aan de orde dat de BCM-aanpakken, die zijn gebaseerd op de gebruikelijke standaarden, methodieken en codes of practice, kennen. Daarnaast kan gesteld worden dat de laatste jaren binnen het vakgebied eigenlijk geen echte inhoudelijke vooruitgang is geboekt. We blijven allemaal een beetje ronddraaien rondom de gebruikelijke aanpak en instrumenten, kort samengevat: opstellen project of programmaplan; processen op een rijtje zetten; uitvoeren Business Impact Analyse; uitvoeren dreigingen analyse; vaststellen continuteitstrategie; opstellen bedrijfscontinuteitsplan; uitvoeren maatregelen; inrichten beheerorganisatie (BCM-organisatie); testen, oefenen en evalueren. En met deze BCM-stappen en instrumenten is op zich niks mis. Alleen in de praktijk leidt het stap voor stap uitvoeren van deze stappen niet altijd tot het gewenste resultaat: op een snelle en efficinte wijze verhogen van de veerkracht van de organisatie. 2.1.1 Pseudo-systematisch

In de praktijk is ondervonden dat het uitvoeren van risico- en business impact analyses een ongemakkelijk gevoel geeft. Beoogd wordt iets systematisch te doen, maar vaak kom je niet verder dan kwalitatieve uitspraken als "hoog", "laag", "midden" als het gaat om de impact van een calamiteit of "nooit", "vrijwel nooit", "wel eens" of "vaak" als gaat om de kans dat een dreiging kan voorkomen. Daarnaast is het vrijwel onmogelijk om een dreigingenanalyse op te stellen waarbij je het management van de organisatie kunt garanderen hiermee niets over het hoofd te hebben gezien. Op basis van deze systematische aanpak baseren bedrijven dan vaak hun strategie, worden preventieve maatregelen genomen en gedetailleerde plannen opgesteld. Ook is de uitkomst van een Business Impact Analyse (BIA) nogal afhankelijk van de personen die aan de analyse meewerken. Met het wisselen van een aantal personen zijn de gewenste hersteltijden (Recovery Time Objectives, RTOs) nogal aan verandering onderhevig. Voor een adviseur is het vaak moeilijk om daar doorheen te prikken.

7


2.1.2

Eerste resultaten laten te lang op zich wachten

De gebruikelijke aanpakken leiden tot BCM-trajecten die vaak vele maanden en soms meer dan een jaar onderweg zijn alvorens de veerkracht van de organisatie daadwerkelijk wordt verhoogd. Gestart wordt zo zeggen ons de standaarden met het voorbereiden van het BCMtraject d.m.v. het opstellen van een project- of programmaplan. Als dat programmaplan er dan is, wordt een business impact analyse uitgevoerd. Gevolgd door een risico- en dreigingen analyse. Dan moet door het management een strategie worden gekozen en vastgesteld. Dan kan het werk beginnen. De maatregelen die nodig zijn om de continuteitstrategie te kunnen realiseren, worden uitgevoerd en alle documentatie wordt opgesteld: een crisismanagementplan; een escalatieplan; uitwijkplannen; evt. terugkeerscenarios; beheerplannen van de BCM-documentatie; een test en oefenstrategie; een test en oefenplan; een opleidingsplan; etc. etc. In de praktijk levert dit situaties op dat pas na vele maanden de eerste zichtbare resultaten worden behaald. De spanningsboog van zulke trajecten is te lang. Het draagvlak en enthousiasme voor BCM bij zowel het management als de betrokken medewerkers neemt zienderogen af. 2.1.3 BCM begint pas echt te leven als er getest/geoefend wordt

In het verlengde van bovenstaande, leert de praktijk dat BCM pas echt begint te leven binnen de organisatie (vooral bij het management), als er getest en geoefend wordt en men de resultaten daarvan ziet. Pas op dat moment zie je dat er aandacht komt en dat het management prioriteit geeft aan BCM-activiteiten. Ook merk je in de praktijk dat na de eerste tests/oefeningen ineens allerlei heroverwegingen bij het management plaatsvinden: Hersteltijden worden nogal eens aangepast (meestal verlengd). De prioriteiten worden nogal eens verlegd (meestal naar processen die veel klantcontact hebben). 2.1.4 Documenten en plannen vergroten de veerkracht van de organisatie niet

Gereregeld komt het voor dat na verloop van tijd weliswaar de eerste versie van de BCM-documenten gereed zijn. Echter, die documenten zijn dan gebaseerd op de vastgestelde continuteitstrategie. En om die strategie mogelijk te maken moeten maatregelen worden genomen, investeringen worden gedaan. Het komt maar al te vaak voor dat na het vaststellen van de continuteitstrategie het uitvoeren van de maatregelen traag van de grond komt: Het enthousiasme voor BCM neemt na verloop van tijd af (zie de vorige paragraaf). 8


Het vaststellen van een strategie is n, maar het daadwerkelijk ter beschikking stellen van middelen (geld en menskracht) is vaak vers twee. Het mogelijk maken van uitwijkscenarios is vaak afhankelijk van elders in te richten voorzieningen voor werkplekken en ict-infrastructuur. Vaak zijn dat ingrijpende activiteiten. Bijvoorbeeld het inrichten van een secundair datacenter of het ongedaan maken van zgn. Single Points of Failure gaat vaak gepaard met lange doorlooptijden en grote investeringen.

Het komt niet zelden voor dat uitvoeren van deze maatregelen maanden tot meer dan een jaar duurt. En in de tussentijd liggen er prachtige BCM-documenten. Die zijn echter geschreven op basis van de vastgestelde continuteitstrategie. Zolang de benodigde aanpassingen nog niet zijn doorgevoerd, zijn ze van geringe waarde: de veerkracht van de organisatie wordt slechts beperkt mate vergroot.

Afbeelding 1: Het duurt te lang voordat de veerkracht van een organisatie daadwerkelijk toeneemt

In bovenstaande figuur is de doorlooptijd geschetst van een BCM-traject dat op de conventionele manier wordt uitgevoerd. Vanaf de start van het traject is men een maand bezig om alle voorbereidende activiteiten uit te voeren. Er wordt een programmaplan opgesteld, de bemensing van het programma en de andere middelen worden geregeld. Als, zoals in alle standaarden, methodieken en codes of practice voorgeschreven, ook nog eerste het BCM-beleid opgesteld en vastgesteld moet worden, duurt deze fase al snel langer dan een maand. 9


Vervolgens start de fase waarin de analyses worden uitgevoerd. Daarmee zijn al snel 2-3 maanden gemoeid. In totaal duurt het traject dan al 3-4 maanden. Om vervolgens op basis van o.a. een inventarisatie van de huidige situatie en de vastgestelde hersteltijden (RTOs) een strategie op te stellen en deze te laten vaststellen moet ook 1 of 2 maanden gerekend worden. Daarmee is het traject dus al 4 tot 6 maanden onderweg. Tot die tijd is de veerkracht van de organisatie nog niet toegenomen. Immers, voorlopig is er alleen nog maar een strategie. De benodigde maatregelen en documenten (bijvoorbeeld uitwijken herstelplannen) zijn er nog niet. Nadat de strategie is vastgesteld worden de documenten geschreven en worden de benodigde maatregelen uitgevoerd. Het schrijven van de documenten inclusief de vaststelling ervan duurt ca. 2-3 maanden. Op het moment dat de documenten gereed zijn, komt het vaak voor dat de maatregelen en aanpassingen, die benodigd zijn om de strategie mogelijk te maken, nog niet gereed zijn. Toch is op dat moment de veerkracht van de organisatie al wel toegenomen. Immers, er is op dat moment een crisismanagement plan, de rollen zijn goed vastgelegd en op basis daarvan kun je stellen dat de organisatie, in vergelijking tot de beginsituatie, aan veerkracht heeft gewonnen. Vandaar de gele pijl in afbeelding 1. Pas als alle maatregelen zijn genomen en vervolgens ook nog getest en geoefend, is de veerkracht op het wenselijke niveau en kunnen de gewenste hersteltijden ook daadwerkelijk worden gerealiseerd. Vooral de fase van het uitvoeren van maatregelen kan lang duren. Vier maanden is, zo leert de ervaring een korte doorlooptijd maar periodes van 6 tot 9 maanden zijn geen uitzondering. Soms duurt deze fase nog veel langer. Een BCM-traject dat geheel volgens de gebruikelijke aanpakken wordt uitgevoerd duurt daarom al snel 10 maanden. Anderhalf jaar is echter geen uitzondering. 2.1.5 BCM is voor calamiteiten en dan gelden andere eisen

Veel organisaties blijken - als je praat over het overleven van chte calamiteiten (dus bijv. niet: er valt een switch om of een datacommunicatieverbinding is een tijdje uit de lucht) hersteltijden te hebben die eerder in de buurt van n of twee weken liggen dan in de buurt van n dag. Toch hebben veel Business Impact Analyses vaak zeer korte hersteltijden als uitkomst. Het naar de eigen organisatie kijken vanuit het oogpunt van een echte calamiteit is blijkbaar slecht te scheiden van kleinere crisissituaties waarbij de day-today business hinder ondervindt door onderbreking van (ondersteunende) processen. Natuurlijk wil iedere proceseigenaar dat zijn proces niet langer dan 4-8 werkuren onderbroken wordt. Echter, na een grote brand waarbij je hele kantoorpand is uitgebrand, gelden andere eisen. Praktijkvoorbeeld. Bij de uitvoering van een BCM-traject bij een verzekeraar kwamen bij de business-impact-analyse uitkomsten naar voren die erop duidden dat vrijwel alle primaire processen binnen 1-2 werkdagen weer in de lucht moesten zijn. Alle topmanagers waren het daarover eens. Totdat n van de managers van mening veranderde en zijn collegas ervan overtuigde dat bij grote calamiteiten de klanten en andere ketenpartners het best accepteren als een aantal primaire processen pas na 1 of 2 weken weer operationeel zijn. Wel onder de voorwaarde dat er in die periode goed gecommuniceerd kan worden en vooral het callcenter bereikbaar is, zodat klanten en leveranciers te woord kunnen worden gestaan. Diezelfde organisatie had tonnen genvesteerd in het (op afstand) redundant uitvoeren van de verwerkingscapaciteit en dataopslag van de ict-infrastructuur. Alleen kon zich 10


niemand meer herinneren wie nu ook al weer verantwoordelijk was voor de telefooncentrale, waarvan het interne callcenter afhankelijk was. En inderdaad er was op geen enkele wijze gedacht aan de continuteit van deze telefooncentrale.

2.2

Probleemstelling Thesis

Bovenstaande overwegingen hebben geleid tot de volgende probleemstelling en onderzoeksvragen. 1. Is het mogelijk een meer pragmatische BCM-aanpak te ontwikkelen, die minder dan de gebruikelijke BCM-aanpakken, is gebaseerd op het systematisch uitvoeren van risicoanalyses; meer de nadruk legt op de impact van een calamiteit dan op de exacte oorzaak; uitgaat van scenariodenken: what if-benaderingen. 2. Wat zijn, in het licht van deze pragmatische aanpak, slimme BCM-maatregelen? 3. Welke kenmerken moet een organisatie hebben, c.q. aan welke basisvoorwaarden moet een organisatie voldoen, om in aanmerking te komen voor bovenstaande aanpak?

11


3 Het thesiswerkOm antwoord te kunnen geven op de probleemstelling, zijn de volgende activiteiten uitgevoerd.

3.1

Literatuuronderzoek

Aan de hand van het uitgevoerde literatuuronderzoek1, is een overzicht gemaakt van de onderdelen en activiteiten van de gebruikelijke BCM-aanpakken. Dat overzicht heeft geleid tot meer inzicht met betrekking tot de geconstateerde tekortkomingen (zie paragraaf 2.1).

3.2

Opstellen concept-aanpak

3.2.1 Vier calamiteiten nader bekeken Vier praktijkgevallen (calamiteiten) zijn nader bekeken: Timesavers International in Goes, brand in januari 2001; Technische Universiteit Twente, brand in serverruimte in november 2002; Rijkswaterstaat Lelystad, brand in januari 2003; Technische Universiteit Delft, brand faculteit Bouwkunde in mei 2008. De calamiteiten bij Timesavers en de Technische Universiteit Twente zijn door middel van een interview bekeken. Toen de brand plaatsvond bij de TU in Delft, was de auteur van deze thesis bezig om een BCM-framework op te stellen voor de TU Delft. Na de brand hebben in het kader van dat project een aantal gesprekken plaatsgevonden met betrokkenen bij de , , afhandeling van de brand. De evaluatierapporten2 3 4 die zijn verschenen naar aanleiding van de brand, zijn meegenomen in het onderzoek. Over de calamiteit bij Rijkswaterstaat is een rapport van Het Expertise Centrum5 verschenen. Dit document is bestudeerd. Een korte beschrijving van de bovengenoemde calamiteiten is opgenomen in bijlage D. De bestudeerde calamiteiten hebben bijgedragen aan het besef dat, ten opzichte van de conventionele aanpakken van BCM, verbeteringen mogelijk zijn. Die verbeteringen zitten niet in het doorvoeren van dure BCM-maatregelen, maar in aspecten als: preventie en een goed fundament (fase 1 van de voorgestelde aanpak); betrokkenheid topmanagement (fase 2); crisismanagement en crisiscommunicatie (fase 2); meer nadruk op het feit dat de calamiteit vandaag kan plaatsvinden. Daarnaast hebben deze casussen bijgedragen aan de invulling van hoofdstuk 9, waarin slimme BCM-maatregelen worden gepresenteerd. 3.2.2 Concept-aanpak Op basis van de op deze wijze verkregen inzichten en het inzetten van de eigen ervaringen van de auteur met BCM-trajecten, is een concept-aanpak opgesteld. Daarnaast is een overzicht opgesteld van slimme BCM-maatregelen. 12


En van de onderdelen van de probleemstelling is de vraag welke kenmerken een organisatie moet bezitten om te kunnen kiezen voor een pragmatische aanpak. In de literatuurstudie6 is reeds geconstateerd dat er op dat gebied weinig onderzoek/literatuur beschikbaar is. Wel is vastgesteld dat de organisatiemodellen van Mintzberg7 8een eerste aanzet kunnen vormen naar het antwoord op de vraag welke kenmerken van een organisatie van invloed kunnen zijn op een te kiezen BCMaanpak. Vandaar dat in hoofdstuk 10 deze organisatiemodellen worden weergegeven en inzicht wordt gegeven in de relatie van BCM met de 7 organisatiemodellen van Mintzberg.

3.3

Review concept-aanpak

De concept-aanpak is aan een aantal BCM-deskundigen voorgelegd. Gekozen is voor een mix van personen die binnen een organisatie als BCM-cordinator werkzaam zijn en personen die als extern adviseur organisaties helpen bij het inrichten van BCM (zie paragraaf 11.1). Tevens is gekeken of de concept-aanpak de gecontateerde tekortkomingen wel oplost (zie paragraaf 11.2) en is gekeken naar een BCM-volwassenheidsmodel om te bezien hoe volwassen BCM kan worden ingericht onder gebruikmaking van het conceptmodel (zie paragraaf 11.4).

3.4

Aanpassen concept-aanpak

De aanpak is op een aantal punten naar aanleiding van het commentaar uitgebreid en aangepast (zie bijlage C).

3.5

Indeling thesis

Na een voorwoord (hoofdstuk 1), wordt in hoofdstuk 2 de achtergrond van het thesiswerk gepresenteerd met als conclusie de probleemstelling en onderzoeksvragen van het thesiswerk. In hoofdstuk 4 wordt de British Standard 25999 beschreven en wordt een vergelijking gepresenteerd van de overige bestudeerde standaarden, codes of practice en methodieken. Met dit hoofdstuk wordt inzicht gegeven in de verschillende stappen en activiteiten van de gebruikelijke BCM-aanpakken en worden ook een aantal nadere (in aanvulling op hoofdstuk 2, Achtergrond) tekortkomingen besproken. In hoofdstuk 5 worden de hoofdlijnen van de voorgestelde aanpak gepresenteerd. De drie fasen van de aanpak worden in de hoofdstukken 6, 7 en 8 verder uitgewerkt. Hoofdstuk 9 bevat een opsomming van slimme BCM-maatregelen, waarbij is getracht zoveel als mogelijk aan te sluiten bij de pragmatische aanpak. Hoofdstuk 10 gaat in op de organisatiemodellen van Mintzberg en brengt deze modellen in relatie met de wijze waarop BCM in organisaties ingericht kan worden. In Hoofdstuk 11 wordt aangegeven op welke wijze de concept-aanpak is beoordeeld, waarna in hoofdstuk 12 wordt bekeken in hoeverre de probleemstelling en de onderzoeksvragen zijn beantwoord. Bijlage A bevat een lijst met afkortingen. 13


Bijlage B geeft samenvattingen en beschouwingen van de bestudeerde standaarden, codes of practice en methodieken. Bijlage C geeft inzicht in het verkregen review-commentaar en de wijze waarop daarmee is omgegaan. Bijlage D geeft een kort overzicht van de bestudeerde/besproken calamiteiten. Bijlage E bevat voetnoten/verwijzingen naar onderliggende documenten.

14


4 De standaarden, methodieken en codes of practiceTijdens de literatuurstudie die voor deze these is uitgevoerd, is een aantal standaarden, methodieken en codes of practice bestudeerd. De volgende documenten maakten onderdeel uit van de literatuurstudie: 1. British Standard 25999 deel 19 en 210; 2. Code voor Informatiebeveiliging NEN-ISO/IEC 2700211; 3. BSI-Standard 100-4 Notfallmanagement12; 4. NIST 800-3413; 5. NFPA 160014; 6. PAS 77: 200615; 7. ENISA Business and IT Continuity: Overview and Implementation Principle16. In bijlage B zijn korte beschrijvingen van de documenten onder nr. 2 t/m 7 opgenomen. Als illustratie is onderstaand een wat uitgebreidere samenvatting van de British Standard 25999 opgenomen.

4.1

British Standard 25999

De BS 25999 beschrijft vier fases om te komen tot BCM: Begrijp de organisatie. BCM strategie vaststellen. Ontwikkelen en implementeren BCM-reactie. Trainen, onderhouden en evalueren. Deze 4 fases worden begeleid door twee processen die de totstandkoming van BCM in een organisatie ondersteunen: bewustwording en cultuurverandering; programmamanagement. 4.1.1 Voorbereiding

BCM-beleid Voordat gestart wordt met fase 1 (begrijp de organisatie) wordt het BCM-beleid (BCMpolicy) opgesteld. Dit beleid bevat de volgende aspecten: de scope van BCM binnen de organisatie; de middelen die ter beschikking staan voor BCM; de doelen, uitgangspunten, randvoorwaarden en minimum-eisen; verwijzing naar van toepassing zijnde standaarden, wet- en regelgeving.

15


Afbeelding 2: British Standard 25999

4.1.2 Programmamanagement Om BCM binnen de organisatie te verwezenlijken wordt "programmamanagement" als instrument gepresenteerd. Het BCM-programma moet de doelen die zijn verwoord in het BCM-beleid behalen. BCM-programmamanagement omvat drie stappen: a) Toedelen van verantwoordelijkheden, de governance van BCM. b) Implementeren van BCM in de organisatie. c) Het onderhouden en beheren van BCM in de organisatie. 4.1.3 Fase 1: begrijp de organisatie

In de eerste fase staat het "begrijpen van de organisatie" centraal. Vragen die aan de orde komen zijn: Wat zijn de belangrijke producten en services van de organisatie? Welke processen brengen deze producten en services tot stand? Wat is de impact als een proces (deels) stil komt te liggen en de producten/services niet geleverd kunnen worden (een business impact analyse)? Wat kan het stilvallen van het proces veroorzaken (een dreigingenanalyse)? Welke maatregelen kunnen genomen worden om dreiging en de impact van de dreiging te doen afnemen?

16


Vervolgens wordt, op basis van een kosten-batenanalyse, besloten wat er kan worden gedaan om de bedrijfscontinuteit te garanderen: Accepteren we het risico (de kosten zijn te groot om de dreiging te voorkomen c.q. de impact van de dreiging te verkleinen)? Kunnen we het risico overdragen (bijv. via een verzekering)? Moet de productie van het betrokken product (tijdelijk) stilgelegd worden? Moet de bedrijfscontinuteit van het product geregeld worden? Uit de kosten-batenanalyse wordt per product of service gekozen uit bovengenoemde maatregelen. In het uiterste geval kan dus geconstateerd worden dat de kosten, die gepaard gaan met het waarborgen van de continuteit van een product of service, te hoog zijn en dat daarom risico geaccepteerd wordt.

Afbeelding 3: BS 25999 fase 1, begrijp de organisatie

17


4.1.4

Fase 2: Continuteitstrategie vaststellen

Voor de processen en producten, waarvoor in de eerste fase is besloten dat de bedrijfscontinuteit geregeld moet worden, wordt een strategie vastgesteld. Voor die processen wordt gekeken naar: personeel; gebouwen (incl. terreinen); techniek; informatie; materialen, gereedschappen, grondstoffen, transport; stakeholders. Op de bovenbeschreven gebieden wordt gekeken welke maatregelen mogelijk/noodzakelijk zijn en worden de maatregelen per gebied met elkaar in verband gebracht zodat per proces een samenhangend pakket van maatregelen kan worden genomen. In deze fase wordt vastgesteld: Wat is minimaal nodig om als organisatie te kunnen functioneren? Met welke strategie wordt dit gerealiseerd?

Afbeelding 4: BS25999 fase 2, Continuteitstrategie

18


4.1.5

Fase 3: Ontwikkelen en implementeren BCM-reactie

Nadat in fase 1 begrip is vastgesteld voor welke processen/producten de continuteit moet worden geregeld en in fase 2 voor die processen/producten een strategie is bepaald, worden in de 3e fase de maatregelen uitgevoerd die de vastgestelde strategie mogelijk maken. De maatregelen zijn een samenhangende set van maatregelen: Preventieve maatregelen; maatregelen die de kans verkleinen dat een dreiging zich voordoet; bijv. bij brand als dreiging: geen brandbaar materiaal in een computerruimte en rookverbod. Detectieve maatregelen; maatregelen die de organisatie in staat stellen om snel te kunnen vaststellen dat een dreiging zich voordoet; bijv. bij brand als dreiging: branddetectiesysteem in een computerruimte. Repressieve maatregelen; maatregelen die ervoor zorgen dat de dreiging snel kan worden gestopt, bijv. bij brand als dreiging een gas-blusinstallatie in de computerruimte. Correctieve maatregelen; maatregelen die ervoor zorgen dat, als de dreiging zich voordoet, maatregelen kunnen worden genomen om de getroffen processen weer snel in de lucht te krijgen, bijv. bij brand als dreiging: backup- en recovery maatregelen.

Afbeelding 5: BS 25999 fase 3, BCM-reactie

19


4.1.6

Fase 4: Trainen, onderhouden en evalueren

De laatste fase van de BS 25999 beschrijft de maatregelen en activiteiten die benodigd zijn om de BCM-maatregelen te oefenen en te trainen. Daarnaast wordt een proces van evaluatie en beheer opgezet. Het oefenen en trainen van de BCM-reactie heeft twee doelen: Het betrokken personeel kan, in geval een dreiging zich daadwerkelijk voordoet, snel en adequaat reageren (men is getraind). Tijdens het trainen en oefenen wordt zicht gekregen op de vraag of de BCMreactie nog wel de juiste is. Nieuwe situaties als gevolg van nieuwe omstandigheden worden zichtbaar en kunnen leiden tot aanpassingen. Door periodiek de continuteitstrategie en reactie te evalueren, wordt bereikt dat de strategie en de plannen up to date zijn. 4.1.7 Borgen BCM in bedrijfscultuur

Het opbouwen, promoten en inbedden van een BCM-cultuur in de organisatie zorgt ervoor dat BCM deel wordt van de kernwaarden van de organisatie en onderdeel van effectief management. Het borgen van BCM in de bedrijfscultuur wordt gerealiseerd via: het kweken van awareness; het ontwikkelen van vaardigheden en competenties op het gebied van BCM.

20


4.2

British Standard 25999 deel 2

In deel 2 van BS 25999 worden de specificaties/eisen weergegeven van een Business Continuity Management Systeem (BCMS). De eisen en specificaties voor het BCMS zijn gebaseerd op de ISO 9001.

Afbeelding 6: BS 25999-2: PDCA-cyclus

4.3

Overeenkomende stappen en elementen

In bijlage B zijn korte samenvattingen/beschrijvingen opgenomen van de volgende documenten: Code voor Informatiebeveiliging NEN-ISO/IEC 27002; BSI-Standard 100-4 Notfallmanagement; NIST 800-34; NFPA 1600; PAS 77: 2006; ENISA Business and IT Continuity: Overview and Implementation Principle. Gesteld kan worden dat de schrijvers van al deze documenten het aardig eens zijn met elkaar. Na lezing van de BS 25999 wordt weinig nieuws aangetroffen en de voorgestelde aanpakken verschillen weinig van elkaar. In onderstaande tabel is per document aangegeven of de bovengenoemde stappen/elementen worden genoemd incl. een eventuele verwijzing.

21


BS 25999 1. Voorbereiding a. beleid opstellen b. draagvlak management c. inrichten project- of programma organisatie 2. Producten/diensten en processen bepalen a. kritische processen b. afhankelijkheden c. benodigde middelen bepalen 3. Uitvoeren BIA a. RTO b. RPO 4. Uitvoeren risico- en dreigingen analyse 5. Opstellen continuteitstrategie a. Restrisico's bepalen b. Preventieve maatregelen c. Continuteitsmaatregelen 6. Vaststellen huidige situatie 7. Uitvoeren maatregelen 8. Opstellen documenten a. crisismanagement b. bedrijfscontinuteitsplan(nen) c. oefenen testplannen 8.3 8.2 8.3 9.2 6.5 7 6.6.3 7.1 7.2 4.3 4.3 5 6 6.3 6.1.2 6.4 6.2 6.6.2

ISO 27002

BSI 100-4

NIST 80034 3.1 3.1

NFPA 1600 4

PAS 77

ENISA 8.1

4.3 14.1.1 j 4.1 4.2, 4.5 14.1.1 b 5.1.1 5.1.2.1 5.1.1 5.1.2.3 14.1.1c 14.1.1 bf 14.1.1 ac 14.1.3 c 14.1.2 14.1.2 14.1.3 14.1.1 e 14.1.2 5.1.1 5.1.1 5.1.2.5 5.1.2 5.1.2.3 5.2 5.4 5.4 5.5 7 5.3 14.1.1e 14.1.3 14.1.4 14.1.3 14.1.3 6 5.5 4.4, 7.1 5.5, 7.2 8.2

4.1 4.1 4

5.1 ( 9.6)

8.5 8.5 8.3 8.2

3.2.1 3.2.1

7 7

8.2 8.2

3.2 3.2.2

5.3.3

6 6.1, 8.3 8.3

9.1, 9.2 9.2 9.2 9.2 10.1

5.3.1 3.4 5.8.3.3 5.5 3.3 3.4 5.4 5.5

6.2, 7 5

10.2 10.2 8.2 9.2 10.2

4 4.2 4.3 3.5

5.8.3 5.8.3.4 5.9 5.8.3.6-8 5.13

8 5.5, 8.4 8 9

11 11.1, 11.2 11.3 11.4 12.1 12.2 13.1

d. beheerplan 9. oefenen en testen 10. evalueren, leren en beheren documenten 11 BCM-communicatie (intern) / awareness

9.4 9.3 9.5 10

14.1.3 14.1.5 14.1.5 14.1.4g

9 8.3 9 4.6

3.6

5.14 5.13 5.14 5 9

13.2 12.3 13.2 13,3

22


4.4

Conclusies met betrekking tot standaarden, methodieken en codes of practice

4.4.1 Overeenstemming over stappenplan Uit de bestudeerde documenten kan geconcludeerd worden dat de aanpak die gehanteerd wordt, overeenkomt met elkaar. In het ene document wordt wat meer aandacht besteed aan het uitvoeren van analyses, in het andere document weer wat meer aan de inhoud van een continuteitsplan, echter de stappen om te komen tot BCM in een organisatie zijn vrijwel identiek. 4.4.2 Nadruk op serile uitvoering stappen In alle documenten worden de stappen gepresenteerd als serile stappen die genomen moeten worden. Dit betekent dat een organisatie een relatief lang traject ingaat. De Duitse standaard, de BSI 100-4, stelt bijvoorbeeld in paragraaf 1.4: "Es wird empfohlen, die in den Kapiteln 4 bis 9 dieses Standards beschriebene Methodik Schritt fr Schritt anzuwenden." Door de nadruk op het seriel uitvoeren van de stappen ontstaan (te) lange doorlooptijden. 4.4.3 Weinig of geen aandacht voor de uitvoering van maatregelen Waar we in de adviespraktijk nogal eens tegen het probleem oplopen, dat het doorvoeren van maatregelen/aanpassingen (die noodzakelijk zijn om de gekozen continuteitstrategie mogelijk te maken), niet voortvarend ter hand wordt genomen en lange doorlooptijden ontstaan, wordt in de bestudeerde documenten hier nagenoeg geen aandacht aan gewijd. Je kiest voor een continuteitstrategie en vervolgens ga je die strategie implementeren, beschrijven, oefenen, testen, evalueren en bijstellen. Dat er vaak een vrij lange periode (tot meer dan een jaar) nodig is om maatregelen door te voeren, die noodzakelijk zijn voor de uitvoering van de continuteitstrategie, wordt over het hoofd gezien. Voor de goede orde, in die periode is de continuteitstrategie als er een calamiteit uitbreekt van weinig waarde. Positieve uitzondering is de BSI 100-4, die wel aandacht vraagt voor dit fenomeen. In hoofdstuk 6 van de BSI 100-4 staat in de inleiding van het hoofdstuk het volgende: Fur die Umsetzung der Manahmen stehen in der Regel nur beschrnkte ressourcen an Geld und Personal zur Verfgung. Ziel der nachfolgend beschriebenen Schritte ist daher, eine mglichst effiziente Umsetzung der vorgesehenen Manahmen zu erreichen. Vervolgens wordt in de rest van het hoofdstuk een aantal voorwaarden beschreven die het efficint en snel doorvoeren van de maatregelen bevorderen. 4.4.4 Weinig aandacht voor kosten en baten van maatregelen In alle documenten wordt gewezen op het feit dat te nemen maatregelen een uitkomst moeten zijn van de kosten, baten en de te accepteren restrisico's, echter hoe je dat aanpakt wordt niet uitgewerkt. Ook hier is de BSI 100-4 overigens een positieve uitzondering. In paragraaf 4.5.2 van dit document wordt uitgebreid beschreven hoe een kosten-batenanalyse uitgevoerd moet worden en worden voorbeeld-tabellen gepresenteerd die kunne helpen bij het opstellen van de kosten-batenanalyse. Daarnaast ontbreekt in de bestudeerde documenten de aandacht voor baten die (slimme) BCM-maatregelen kunnen hebben in niet-crisis-situaties. Er zijn maatregelen voorhanden (zie hiervoor ook hoofdstuk 9) die ook in de normale situaties baten hebben. Dat betekent dan ofwel extra baten door de BCM-maatregel, dan wel het slechts gedeeltelijk toedelen van de kosten aan de BCM-maatregel. 23


5 Kleine stappen en toch snel(ler) thuis: de hoofdlijnBij het ontwikkelen van een nieuwe BCM-aanpak hebben de volgende vragen een rol gespeeld: Hoe kan voorkomen worden dat het BCM-traject te lang duurt? Hoe houden we het draagvlak in de hele organisatie hoog? Hoe kunnen we snel successen boeken en veerkracht vergroten? Hoe worden de schaarse middelen (geld en menskracht) zo effectief mogelijk ingezet? Hoe wordt voorkomen dat de keuzes rondom bedrijfscontinuteit worden bepaald op basis van RTOs die te kort zijn? De antwoorden op bovenstaande vragen hebben geleid tot een oplossing waarbij BCM in twee of drie stappen tot stand wordt gebracht.

Afbeelding 7: De aanpak op hoofdlijnen

5.1

Preventie en Fundament

Waarom starten met een BCM-traject als andere maatregelen de veerkracht van de organisatie effectiever vergroten? Waarom uitgebreide analyses (business-impact, dreigingen, risicos) uitvoeren als de basis ontbreekt?

24


Kijk eerst naar het niveau van de preventie binnen de organisatie. Hoe kunnen we calamiteiten voorkomen? Voorkomen is beter dan genezen: Zijn voldoende maatregelen tegen brand en bliksemschade getroffen? Zijn voldoende maatregelen genomen in het kader van Informatiebeveiliging? Zijn de maatregelen rondom de fysieke toegangsbeveiliging van de panden op orde? Is het personeel in het dagelijkse werk wel voldoende beschermd via afdoende ARBO-maatregelen? Als het antwoord op deze vragen nee luidt: start dan nog niet met BCM. Het is effectiever om eerst deze preventieve maatregelen op te pakken. De preventieve maatregelen vormen een onmisbaar onderdeel van het fundament onder het BCM-gebouw dat later opgezet wordt. Een ander onderdeel van het fundament wordt gevormd door een goede inrichting van bedrijfshulpverlening (overigens ook nog eens wettelijk verplicht) en een beschrijving van de bedrijfsprocessen en de verantwoordelijkheden binnen en rondom die processen. Is dit fundament niet voldoende: start dan nog niet met BCM. De (schaarse) middelen kunnen effectiever ingezet worden om de veerkracht van de organisatie te verhogen.

5.2

Bedrijfscontinuteit Nu!!!!

Stel je voor dat de brand vandaag uitbreekt. Stel je voor dat de machinerie, die het hart van je productieproces vormt, het vandaag begeeft en reparatie/vervanging meer dan 2 weken gaat duren. Of een F16 vernielt vandaag in de buurt een hoogspanningsleiding. Wat zou je dan doen? Geen business-impact-analyse uitgevoerd, geen strategie bepaald en geen bedrijfscontinuteitsplan voorhanden. Probeer dan maar eens deze calamiteit te overleven. Een leuke droogzwem exercitie. Maar ook een effectieve. Immers, aan de uitkomsten van die exercitie heb je wat. Een eerste stap op weg naar bedrijfscontinuteit. Wat is er mogelijk met de huidige middelen die de organisatie ter beschikking staan? Zet de antwoorden en oplossingen dan eens netjes op papier en breng ze onder in een bedrijfscontinuteitsplan. En wie neemt tijdens de calamiteit vandaag de leiding? Wie neemt besluiten? Wie voert deze besluiten uit en hoe communiceren we met elkaar? En wie moeten we waarschuwen dat de productie stil ligt? En er is geen crisismanagementplan! Niet lang meer, want de antwoorden op deze vragen leg je vast in een document en je geeft het document de titel Crisismanagementplan. Als dan vervolgens ook nog eens afspraken worden gemaakt die ervoor zorgen dat deze twee documenten op orde blijven en dat er iemand is die regelt dat de bedachte scenarios worden getest en geoefend, is weer een stap gezet. De organisatie beschikt over een eerste opzet van de BCM-organisatie. Als het complete beeld dan voorhanden is en de scenarios zijn getest, is het tijd om de uitkomsten (bijv. hoe snel zijn we weer in de lucht met onze kritieke processen?) te beoordelen. Komt de organisatie hiermee weg of niet? Een omgekeerde businessimpact-analyse! 25


Levert de evaluatie op dat de gerealiseerde hersteltijden (Recovery Time Realisation!) acceptabel zijn. Waarom zou de organisatie dan verder een uitgebreid BCM-traject ingaan? Herhaal de tests en oefening periodiek en evalueer de uitkomsten iedere keer weer. Et voil: BCM in place! Is de uitkomst van de evaluatie dat de gerealiseerde hersteltijden nog niet goed genoeg zijn maar dat met kleine en snel uit te voeren maatregelen verbetering mogelijk is: Voer die maatregelen dan door. Pas de documenten (crisismanagementplan en/of bedrijfscontinuteitsplan) aan. Voer tests en oefeningen uit. Evalueer op dezelfde manier als hierboven beschreven. Blijkt uit de eerste of volgende evaluaties dat de gerealiseerde hersteltijden te veel risico opleveren voor het voortbestaan van de organisatie c.q. er wordt teveel schade geleden, dan kan de laatste stap uit de aanpak ter hand worden genomen.

5.3

Bedrijfscontinuteit: optimaliseren

Indien deze fase uitgevoerd moet worden, is in de voorliggende fase vastgesteld dat de huidige situatie onacceptabele hersteltijden oplevert. In dat geval start je een BCMtraject waarbij je wel een aantal aanvullende stappen zet. In deze fase wordt o.a. een business-impact-analyse uitgevoerd, betere scenarios (BCM-reactie) en een strategie opgesteld. Voordeel hierbij is dat in de voorliggende fase al ervaring is opgedaan en input is verzameld. Voordeel is daarnaast dat het management van de organisatie al een tijdje met het onderwerp bezig is en zodoende de mind-set en de sense of urgency op niveau is. Daarmee kan deze derde fase erg snel en efficint uitgevoerd worden. Ook is er reeds een BCM-organisatie ingericht waardoor het beheer van de documenten is ingeregeld. Nadat de nieuwe strategie is vastgesteld: Worden de maatregelen uitgevoerd. Worden vervolgens (in die volorde dus) de documenten (bijv. crisismanagementplan en bedrijfscontinuteitsplan) aangepast. En dat kan vlot, immers de BCM-organisatie is al tot stand gekomen in de vorige fase. Worden tests en oefeningen uitgevoerd. Wordt een evaluatie uitgevoerd. Eventueel aanpassingen gedaan, wederom getest/geoefend: kortom een proces van continue verbetering wordt op gang gebracht. En het grote voordeel ten opzichte van de gebruikelijke aanpakken is dat in de tussentijd (immers deel 1 en deel 2 van de aanpak zijn doorlopen) er altijd een bedrijfscontinuteitsplan ligt dat uitgevoerd kan worden. Hiermee kan in ieder geval op elk moment zo optimaal mogelijk worden gereageerd op een calamiteit. Overigens kan in deze fase gekozen worden uit alle beschikbare standaarden, methodes en codes of practice. Zo kan bijvoorbeeld een BS 25999 traject worden ingezet of de werkwijze in de BSI 100-4 worden gekozen. In de beschrijving van deze fase in hoofdstuk 8 is gekozen om ook hier een wat pragmatischer aanpak te kiezen. Daarnaast wordt in deze uitwerking rekening gehouden met de stappen en uitkomsten uit fase 2, Bedrijfscontinuteit Nu!!!. In de volgende figuur zijn de drie fases ondergebracht. In de volgende hoofdstukken worden de drie fases verder uitgewerkt. 26


Afbeelding 8: Bedrijfscontinuteit: kleine stappen en toch sneller thuis

5.4

Projectmatige opzet

In de volgende drie hoofdstukken worden de hierboven gepresenteerde fasen verder uitgewerkt. In die hoofdstukken worden de uit te voeren activiteiten beschreven. Voor een efficinte en snelle uitvoering van deze BCM-aanpak is het noodzakelijk om de uitvoering projectmatig op te pakken.

27


Een projectleider en opdrachtgever moeten aangewezen worden. Goed denkbaar is, dat dit de toekomstige BCM-cordinator respectievelijk de BCM-eigenaar zijn (zie paragraaf 7.2.8). De activiteiten van de BCM-aanpak dienen te worden ondergebracht in een projectplan. De vaststelling van dit projectplan in het managementteam dient dan als officile start van het BCM-traject. Belangrijk is om in dit projectplan ook aan te geven welke middelen (zowel geld als inzet van mensuren) nodig zijn om het project uit te voeren. Vanaf het moment dat de situatie is bereikt dat: de organisatie beschikt over een BCM-organisatie, n uit een evaluatie is gebleken dat de hersteltijden acceptabel zijn, kan het project worden afgerond en treedt de beheerfase van BCM in de organisatie in werking.

28


6 Preventie & Fundament: Voorkomen is beter dan genezen!

Afbeelding 9: Fase 1, preventie en fundament

Waarom starten met een BCM-traject als met andere maatregelen de veerkracht van de organisatie effectiever toeneemt? Waarom uitgebreide analyses (business-impact, dreigingen, risicos) uitvoeren als de basis ontbreekt? Voorkomen is beter dan genezen! Kijk eerst naar het niveau van de preventie binnen de organisatie. Hoe kunnen calamiteiten voorkomen worden? Zijn voldoende maatregelen getroffen om calamiteiten te voorkomen? o.a.: Zijn voldoende maatregelen tegen brand (en bliksemschade) getroffen? Zijn voldoende maatregelen getroffen in het kader van Informatiebeveiliging? Zijn de maatregelen rondom de fysieke toegangsbeveiliging van de panden op orde? Is het personeel van de organisatie door middel van afdoende ARBO-maatregelen voldoende beschermd? Als het antwoord op deze vragen nee luidt: start dan nog niet met BCM! Het is effectiever om eerst deze preventieve maatregelen op te pakken. De preventieve maatregelen vormen een onmisbaar onderdeel van het fundament onder het BCM-gebouw dat later opgezet wordt. 29


Een ander onderdeel van het fundament wordt gevormd door een goede inrichting van bedrijfshulpverlening (overigens ook nog eens wettelijk verplicht) en een beschrijving van de bedrijfsprocessen en de verantwoordelijkheden binnen en rondom die processen. Is dit fundament niet voldoende: start dan nog niet met BCM! De (schaarse) middelen kunnen effectiever ingezet worden om de veerkracht van de organisatie te verhogen.

6.1

Preventieve maatregelen tegen brand- en bliksemschade

Brand en bliksem zijn twee bedreigingen die: Vaak voorkomen. Bij iedere dreigingenanalyse bij de top 5 van bedreigingen voorkomen17. Waartegen effectieve preventieve maatregelen te nemen zijn. Laat de verantwoordelijke manager voor facilitair of gebouwzaken aantonen dat er voldoende en passende maatregelen zijn genomen tegen brand en bliksemschade. Vanwege het belang van deze preventieve maatregelen dient bij twijfel over de toereikendheid van de genomen maatregelen een externe en onafhankelijke adviseur ingeschakeld te worden om een review/second opinion uit te voeren naar de maatregelen tegen brand en bliksemschade. Speciale aandacht dient hierbij uit te gaan naar ruimtes die van speciaal belang zijn voor het functioneren van de organisatie, bijvoorbeeld de Server/computerruimte, het laboratorium, de productiehal en/of de ruimte met technische voorzieningen (verwarming, koeling etc.). Mocht blijken dat de maatregelen die de organisatie reeds genomen heeft, niet toereikend zijn, geef dan prioriteit aan het nemen van deze maatregelen boven het uitvoeren van een BCM-traject. Overigens is het gewenst dat deze afweging niet eenmalig wordt gemaakt, maar periodiek wordt herhaald.

6.2

Fysieke toegangsbeveiliging

Ook voor de fysieke toegangsbeveiliging geldt dat de bedreiging bij dreigingenanalyses vaak in de top van het lijstje met bedreigingen staat. En ook hiervoor geldt dat preventieve maatregelen goed te treffen zijn. Ook voor fysieke toegangsbeveiliging geldt: Laat de verantwoordelijke manager voor facilitaire- of gebouwzaken aantonen dat er voldoende en passende maatregelen zijn genomen in het kader van toegangsbeveiliging. Schakel bij twijfel een externe en onafhankelijke adviseur in om een review/second opinion uit te voeren naar de toereikendheid van de maatregelen. Geef ook hier speciale aandacht aan ruimtes die van speciaal belang zijn voor het functioneren van de organisatie, bijvoorbeeld de Server/computerruimte, (delen van) het magazijn of het laboratorium.

30


Mocht blijken dat de maatregelen die de organisatie reeds genomen heeft, niet toereikend zijn, geef dan prioriteit aan het nemen van deze maatregelen boven het uitvoeren van een BCM-traject. Ook hier is het gewenst dat deze afweging niet eenmalig wordt gemaakt, maar periodiek wordt herhaald.

6.3

Informatiebeveiliging

Voor organisaties die voor het functioneren afhankelijk zijn van beschikbare en betrouwbare informatie geldt: Is de organisatie er niet verzekerd van of bestaat er twijfel over het niveau van informatiebeveiliging in de organisatie (niet in controll), ga dan eerst werken aan het niveau van informatiebeveiliging. Geef daar prioriteit aan en pak daarna bedrijfscontinuteit aan. Hoewel in eerste instantie gedacht moet worden aan het beschikbaarheids-aspect van informatiebeveiliging, moeten de overige twee aspecten (integriteit en vertrouwelijkheid) niet vergeten worden. Zeker tijdens en vlak na een calamiteit is het van belang dat de organisatie kan beschikken over integere (betrouwbare) informatie. En ook de vertrouwelijkheid van informatie is zeker in een periode dat velen over de schouders van de organisatie meekijken een aandachtspunt. Wordt voor een omgekeerde volgorde gekozen, waarbij gestart wordt met een BCMtraject terwijl het niveau van informatiebeveiliging onder de maat is, dan loop je voortdurend achter de feiten aan. Hoe meer de organisatie afhankelijk is van beschikbare en betrouwbare informatie, des te meer doet deze stelling opgeld. Laat een interne dan wel externe review uitvoeren naar het niveau van informatiebeveiliging in de organisatie. Overigens spelen preventieve maatregelen tegen brand, bliksem en fysieke toegangsbeveiliging hierin een rol. Betrek bij deze review ook de vraag of er een managementproces rondom Informatiebeveiliging is ingericht en gemplementeerd. Mocht uit deze review blijken dat het niveau onvoldoende is, doorloop dan eerst de benodigde stappen om de informatiebeveiliging op orde te krijgen en te houden, alvorens te starten aan een BCM-traject. Bij een gedegen review naar het niveau van informatiebeveiliging komt overigens vanzelf de vraag naar voren hoe het is gesteld met de continuteit van de ITdienstverlening, waarmee een natuurlijke brug ontstaat naar het vraagstuk van bedrijfscontinuteit.

6.4

Bedrijfshulpverlening

Van allergrootste belang is dat de medewerkers en bezoekers van de organisatie bij het optreden van een calamiteit, waarbij gevaar voor personen kan ontstaan, op een snelle en veilige manier het gebouw/het terrein kunnen verlaten en op een plek elders worden opgevangen. Gelukkig is de bedrijfshulpverlening in ons land gebonden aan wet- en regelgeving. Er is een verplichting van kracht voor organisaties om de bedrijfshulpverlening goed op orde te hebben.

31


Voor het goed kunnen reageren op een calamiteit is bedrijfshulpverlening van extra belang. Neem het voorbeeld van de brand die het gebouw van de faculteit Bouwkunde van de TU Delft in 2008 in as legde. Tijdens die brand zijn geen grote persoonlijke ongelukken voorgekomen. Het personeel en de aanwezige studenten en bezoekers waren snel uit het pand. De faculteitsleiding kon al tijdens de brand starten met het werken aan de bedrijfscontinuteit van de faculteit. Na 5 werkdagen kwam het onderwijsproces weer op gang. Stel dat er n of meer slachtoffers waren gevallen doordat personeel of studenten niet op tijd het pand hadden kunnen verlaten. Dan krijgt zon calamiteit een extra dimensie. Ontstaan er slachtoffers, dan is de organisatie de eerste dagen na de calamiteit waarschijnlijk meer bezig met het verwerken van het verlies en het organiseren van herdenkingsbijeenkomsten dan met weer in de lucht krijgen van de bedrijfsprocessen. Een goed lopende en geoefende bedrijfshulpverlening is van levensbelang voor een organisatie bij het overleven van een calamiteit.

6.5

Bescherming personeel (ARBO)

Organisaties zijn verplicht om voldoende ARBO-maatregelen te treffen. Dit aspect is omgeven door heldere en strikte wet- en regelgeving18. Zeker voor organisaties waarbij het personeel tijdens het dagelijkse werk wordt blootgesteld aan (externe) gevaren, vormen de genomen ARBO-maatregelen een belangrijk onderdeel bij het voorkomen van calamiteiten. Laat de verantwoordelijke manager voor personeelszaken aantonen dat er voldoende en passende maatregelen zijn genomen in het kader van de arbeidsomstandighedenwet. Beoordeel in ieder geval of in de organisatie periodiek Risico- Inventarisaties en Evaluaties worden uitgevoerd en controleer of de daaruit voortgekomen maatregelen zijn doorgevoerd. Schakel bij twijfel een externe en onafhankelijke adviseur in om een review/second opinion uit te voeren naar de toereikendheid van de maatregelen. Geef hierbij speciale aandacht aan situaties/omstandigheden waarbij personeel wordt blootgesteld aan (externe) gevaren.

Mocht blijken dat de maatregelen die de organisatie reeds genomen heeft, niet toereikend zijn, geef dan prioriteit aan het nemen van deze maatregelen boven het uitvoeren van een BCM-traject.

6.6

Producten, processen, verantwoordelijkheden en afhankelijkheden

Zodra er wordt gestart met een traject rondom bedrijfscontinuteit, gaat de discussie al snel over: welke producten maakt de organisatie? welke processen leiden tot die producten? wie is er verantwoordelijk voor de processen? welke afhankelijkheid bestaan er tussen deze processen? 32


De antwoorden op deze vragen zijn van groot belang voor het goed kunnen doorlopen van de activiteiten binnen het BCM-traject. Vandaar dat een overzicht van producten en processen, inclusief de daarbij geldende verantwoordelijkheden en afhankelijkheden, gewenst is. Als dit overzicht pas tot stand moet worden gebracht tijdens het BCM-traject, houdt dit vreselijk op. Het is daarom verstandig om ervoor te zorgen dat het overzicht van processen, verantwoordelijkheden en afhankelijkheden beschikbaar is op het moment dat wordt gestart met het BCM-traject.

33


7 Bedrijfscontinuteit Nu!!!

Afbeelding 10: Fase 2, bedrijfscontinuteit met de huidige middelen

In dit en latere hoofdstukken is sprake van calamiteitenscenarios, uitwegscenarios en uitwegplannen. Voor een goed begrip van deze termen volgt hieronder een omschrijving.

Een calamiteitenscenario is een beschrijving van een calamiteit die optreedt en geeft aan welke gevolgen de calamiteit heeft op: de beschikbaarheid van huisvesting/werkplekken/productieruimte; de beschikbaarheid van ondersteunende systemen. Een uitwegscenario is het plan dat de organisatie heeft om uit de situatie te geraken die is ontstaan als gevolg van een calamiteit. Een uitwegplan is een deelplan van een uitwegscenario en beschrijft de acties op een specifiek terrein die uitgevoerd moeten worden in het kader van dat uitwegscenario. Zo kan er bijvoorbeeld een uitwegplan ICT bestaan en een uitwegplan Huisvesting.

34


De aanpak is op dit punt geheel afwijkend van de standaarden, methodieken en codes of practice. Gestart wordt niet met een fase waarin analyses (o.a. een business impact analyse) een grote rol spelen. De business impact analyse, bijvoorbeeld, komt aan het eind pas aan de orde. En dan ook nog eens omgekeerd, in die zin dat eerst wordt gekeken wat de behaalde resultaten zijn en dan wordt geoordeeld of het resultaat acceptabel is. Gekozen is voor een aanpak waarbij het bedrijfscontinuteitsplan niet wordt opgezet op basis van vastgestelde hersteltijden (recovery time objectives) maar op basis van de huidige situatie. Welke middelen staan de organisatie op dit moment ter beschikking en hoe kunnen we daarmee een calamiteit overleven? Welke hersteltijden kunnen vandaag gerealiseerd worden? De calamiteit kan ieder moment optreden. En dus is een aanpak noodzakelijk die uitgaat van de situatie van vandaag, en niet een situatie van over een half jaar of over wel meer dan jaar. In deze tweede fase worden de volgende activiteiten uitgevoerd: 1. En of meerdere calamiteitenscenario-sessies worden gehouden met het topmanagement van de organisatie. 2. Op basis van de uitkomsten van de Calamiteitenscenario-sessie wordt een crisismanagementplan opgesteld. 3. Op basis van de uitkomsten van de Calamiteitenscenario-sessie wordt de BCMorganisatie opgezet. 4. Op basis van de uitkomsten van de Calamiteitenscenario-sessie wordt een bedrijfscontinuteitsplan opgesteld. 5. Op basis van de uitkomsten van de Calamiteitenscenario-sessie wordt een communicatieplan opgesteld. 6. Er wordt getest, geoefend en doorgerekend. 7. Na de tests, oefeningen en doorrekening wordt een evaluatie opgesteld. 8. Eventueel worden een aantal (niet grote) maatregelen genomen en worden de stappen 2, 4, 5 en 6 herhaald. 9. Mocht uit de evaluatie blijken dat in de huidige situatie, met de nu ter beschikking staande middelen geen acceptabele hersteltijden mogelijk zijn, dan wordt overstapt naar fase 3.

35


Afbeelding 11: Schematisch overzicht fase 2

7.1

Voorbereiding

De Calamiteitenscenario-sessie moet goed worden voorbereid. Degene die de sessie organiseert enbegeleidt, dient een aantal activiteiten te verrichten alvorens de sessie kan worden gehouden. Om deze voorbereidingen te doen, zijn interviews noodzakelijk en moeten reeds beschikbare documenten (bijv. overzicht van processen en producten) bestudeerd worden. 7.1.1 Aanpassen calamiteitenmatrix In de Calamiteitenscenario-sessie wordt gebruik gemaakt van een matrix waarin een aantal calamiteiten zijn ondergebracht. Deze matrix moet op maat worden gemaakt voor de organisatie. Het voorbeeld dat in paragraaf 7.2 wordt gebruikt, heeft als uitgangspunt een organisatie die voor de levering van haar producten en diensten volledig afhankelijk is van ICT-voorzieningen (bijvoorbeeld een verzekeringsmaatschappij) . Indien sprake is van een organisatie waarbij ICT een minder prominente rol vervult, moeten een aantal voor die organisatie relevante calamiteitenscenarios voorbereid worden. Ook de tijdvensters die zijn gebruikt (1 dag, 1 week en 1 maand onbeschikbaarheid) moeten per organisatie heroverwogen worden. Bij een bancaire instelling is 1 dag als eerste tijdvenster wellicht te lang. Voor een andere organisatie is 1 dag wellicht te kort, is de schade bij 1 dag onbeschikbaarheid te overzien. 7.1.2 Processen, producten/diensten kennen Het is noodzakelijk dat degene die de calamiteitenscenario-sessie begeleid, de organisatie kent. In die zin dat deze persoon bekend is met de processen en 36


producten/diensten van de organisatie. Indien de begeleider een externe is, zal hiervoor voorbereidingstijd gereserveerd moeten worden. 7.1.3 Crisismanagement, escalatiemechanisme en BCM-rollen Het is noodzakelijk tijdens de voorbereiding van de sessie(s) al na te denken over de vraag hoe een crisismanagementteam voor deze organisatie uit kan zien en welke escalatiemechanismes (escalatiedrempels) voor de hand liggen. Na de calamiteitenscenario-sessie zal iemand aan het werk moeten worden gezet die de benodigde documenten schrijft en vanaf dat moment ook beheert. Deze rol BCMcordinator moet bij iemand belegd worden en het is wenselijk hierover in de voorbereidingsfase reeds na te denken.

7.2

Calamiteitenscenario sessie

En of meerdere bijeenkomsten worden georganiseerd met het topmanagement van de organisatie. Tijdens deze bijeenkomst(en) worden de volgende onderwerpen behandeld: 1. Welke uitwegen zijn in de huidige situatie mogelijk in geval van een calamiteit? 2. Hoe organiseren we het crisismanagement? 3. Welke BCM-rollen moeten worden toegewezen en aan wie? Of er n of meerdere bijeenkomsten noodzakelijk zijn is afhankelijk van de situatie. Hoe groot is het managementteam? Hoe snel kan men tot besluiten komen? Hoe lang mogen de sessies duren? Het is wel aan te bevelen om in een managementteamvergadering, voorafgaande aan de eerste sessie, de procedure tijdens calamiteitenscenario-sessie in te leiden. Tevens kunnen dan de calamiteitenscenarios gepresenteerd worden, zodat het management zich alvast kan voorbereiden. 7.2.1 De calamiteit vindt nu plaats Tijdens een bijeenkomst met het topmanagement van de organisatie wordt een aantal calamiteitenscenarios doorgesproken. Het is de bedoeling dat als uitgangspunt wordt gehanteerd dat de calamiteit zich nu, op dit moment, voordoet. De opdracht aan het management is om met elkaar een uitweg te vinden uit de calamiteit. Doel van de sessie is om een aantal uitwegscenarios te bedenken. Bewust wordt niet gekozen voor de term uitwijkscenarios omdat deze term te snel leidt tot het uitwijken van de productie, werkplekken en/of systemen naar een (hiervoor voorbereidde) uitwijklocatie. Dat hoeft niet altijd het geval te zijn. 7.2.2 Drie aspecten: huisvesting, ondersteunende systemen en mensen De calamiteitenscenarios zijn vormgegeven rondom drie aspecten: de beschikbaarheid dan wel onbeschikbaarheid van huisvesting, werkplekken of productieruimte; de beschikbaarheid, dan wel onbeschikbaarheid van ondersteunende systemen (bijv. ICT-voorzieningen of machinerie); de beschikbaarheid dan wel onbeschikbaarheid van mensen. Naast bovengenoemde 3 aspecten zijn ook de beschrijvingen van de processen, verantwoordelijkheden en afhankelijkheden van belang. De noodzaak van deze beschrijvingen is opgenomen in fase 1 van de aanpak (preventie en fundament). 37


Het is niet nodig om (in geval van het voorbeeld uit afbeelding 7) alle mogelijke calamiteitenscenarios (15 in totaal) door te nemen. Op basis van ca. 5 scenarios kunnen voldoende conclusies getrokken worden en kunnen de uitwegscenarios opgesteld worden.

Afbeelding 12: Calamiteitenmatrix

Voorbeeld. Men heeft een uitwegscenario bedacht voor calamiteitenscenario i.. Hierbij zijn de ondersteunende systemen (bijv. ICT) 1 week onbeschikbaar en is de huisvesting/werkplekken/productieruimte gewoon beschikbaar. Dat uitwegscenario kan dan voor het overgrote deel ook worden gebruikt voor het geval de huisvesting/werkplekken/productieruimte 1 dag onbeschikbaar is en de ondersteunende systemen 1 week onbeschikbaar zijn, calamiteitenscenario j.. Ook hiervoor geldt dat in de voorbereiding de matrix moet worden aangepast aan de situatie van de organisatie. Aansluiting moet worden gezocht bij voor de organisatie geldende specifieke risicos (en dan vooral op de impact van die risicos). Bij die voorbereiding moet ook bedacht worden welke 5-6 calamiteitenscenarios behandeld moeten worden, zodat de bedachte uitwegscenarios de basis kunnen zijn voor alle andere (in dit geval 15) calamiteitenscenarios. In bovenstaande matrix komen tot nog toe slechts twee aspecten aan de orde: huisvesting en ondersteunende systemen. Het derde aspect (mensen) komt als volgt aan bod. Maak gebruik van het overzicht van processen, producten, verantwoordelijkheden en afhankelijkheden (zie paragraaf 6.6). Bepaal tijdens de voorbereiding van de 38


calamiteitenscenario-sessie welke processen vitaal zijn. Dat wil zeggen dat onderbreking van het proces de productie van producten/diensten onmogelijk maakt. Bepaal per vitaal proces aan de hand van onderstaande matrix wanneer de situatie zodanig kritiek wordt, dat ingegrepen moet worden.

Afbeelding 13: Matrix onbeschikbaarheid mensen

Bovenstaand voorbeeld, dat voor iedere organisatie specifiek moet worden gemaakt. Voor de scenarios waarbij de kleur rood wordt toegekend (= situatie die niet mag ontstaan, een uitwegscenario is gewenst), wordt bekeken welke maatregelen te nemen zijn. Te denken valt aan: inhuur menskracht; beschikbare medewerkers tijdelijk ander werk geven; productie overbrengen naar ander organisatieonderdeel; productie overbrengen naar een andere organisatie; preventieve maatregelen.

39


7.2.3 De calamiteit treedt nu op. Wat doen we? Per calamiteitenscenario dienen de volgende vragen beantwoord te worden: 1. Wat gaat er mis? 2. Welke processen worden geraakt door de calamiteit? 3. Welke productie/dienstverlening komt hierdoor in gevaar? 4. Welke producten/diensten moeten prioriteit krijgen? 5. Hoe groot moet de performance zijn van het proces in een provisorische situatie? 6. Hoe ziet een mogelijk uitwegscenario er uit? 7.2.4 Aandacht voor informatieverlies Bij organisaties die voor hun producten/diensten in hoge mate afhankelijk zijn van digitale informatie, dient tijdens de calamiteitenscenario-sessie ook aandacht te worden geschonken aan de vraag hoe groot het informatieverlies mag zijn. De uitkomst daarvan dient vergeleken te worden met het bestaande back-up en restore beleid. Ook moet bekeken worden welke documentatie (zowel analoog als digitaal) essentieel is bij het weer in de lucht brengen van processen c.q. bij het weer opbouwen van productielijnen. Per uitwijkplan dient aangegeven te worden welke documentatie noodzakelijk is en waar deze documentatie zich bevindt c.q. waar een back-up van deze informatie in geval van nood zich bevindt. 7.2.5 Aandacht voor financile positie rondom calamiteiten Bij ieder uitwegscenario dient nagegaan te worden wat de financile consequenties zijn van het scenario en dient beoordeeld te worden of deze financile consequenties te dragen zijn. Deze aandacht voor financin komt later weer terug bij de evaluatie van de uitwegscenarios (zie paragraaf 7.7). 7.2.6 Aandacht voor communicatie Bij ieder uitwegscenario dient nagegaan te worden welke communicatieactiviteiten moeten plaatsvinden: Naar welke doelgroepen of stakeholders moet gecommuniceerd worden? Welke boodschap moet er naar welke doelgroep gecommuniceerd worden? Welke middelen staan gelet op de calamiteit die de organisatie heeft getroffen ter beschikking om te communiceren? 7.2.7 Aandacht voor crisismanagement en escalatiemechanisme Tijdens de calamiteitenscenario-sessie dient het management ook vast te stellen langs welke hoofdlijnen het crisismanagement wordt ingericht: Wie neemt zitting in het crisismanagementteam? Wie neemt de leiding in het crisismanagementteam? Wie is verantwoordelijk voor interne en externe communicatie? Wie pakt buiten het crisismanagementteam de verantwoordelijkheid om (delen van) de uitwegscenarios te realiseren? Daarnaast wordt in hoofdlijnen ook vastgesteld wanneer het crisismanagementteam de verantwoordelijkheid van normale managementlijnen overneemt. Wie besluit om het crisismanagementteam bijeen te roepen? Hoe vindt de initile communicatie naar de leden van het crisismanagementteam plaats. Voor het vaststellen van de escalatieniveaus kan de onderstaande matrix een rol spelen. Je kunt op basis van de matrix afspreken welke managementlaag leading is 40


bij het nemen van besluiten en welke informatie geleverd moet worden aan de hoger liggende (crisis-) managementlaag, bijvoorbeeld: Tot wanneer worden besluiten genomen op afdelingsniveau? Wanneer gaat verantwoordelijkheid over naar de directeur? In welk geval treedt de formele crisismanagementorganisatie in werking? Afbeelding 14 toont een voorbeeld van een escalatieschema. Dit schema moet voor iedere organisatie specifiek gemaakt worden. Het is niet nodig dat alle vragen rondom communicatie, crisismanagement en escalatiemechanisme tot in details worden afgesproken. In de periode na de calamiteitenscenario-sessie kunnen de details uitgewerkt worden door de aan te wijzen BCM-cordinator. Tijdens de sessie is het voldoende als het management richtinggevende uitspraken doet.

Afbeelding 14: Escalatie-niveaus

7.2.8 BCM-cordinator en BCM-eigenaar Aan het eind van de calamiteitenscenario-sessie dient bepaald te worden wie de BCM-documenten gaat opstellen en het proces rondom bedrijfscontinuteit op gang 41


brengt en houdt. Tijdens de voorbereiding van de sessie dient hierover reeds overleg plaats te vinden, immers de beoogd BCM-cordinator is n van de noodzakelijke aanwezigen. De rol van BCM-cordinator dient tijdens de sessie expliciet belegd te worden. Ook moet n van de leden van het managementteam aangewezen worden als BCMeigenaar die binnen het managementteam eindverantwoordelijk is voor BCM. Deze topmanager en de BCM-cordinator worden daarmee belast met het aansturen en cordineren van de komende BCM-activiteiten. Daarnaast is het belangrijk om lijnmanagers (middenmanagement) aan te wijzen die de uitwegplannen gaan uitschrijven. Per uitwegscenario zijn n of meer uitwegplannen noodzakelijk (bijv. uitwegplan ICT, uitwegplan facilitair, uitwegplan werkplekken).

7.3

Inrichten Crisismanagementorganisatie

Na de calamiteitenscenario-sessie(s) worden de besluiten van het topmanagement rondom crisismanagement uitgewerkt door de BCM-cordinator. Het crisismanagementplan omvat de eerste stappen die gezet worden bij het daadwerkelijk optreden van een calamiteit. In het crisismanagementteam worden tijdens een crisis de benodigde besluiten genomen en wordt de uitvoering van deze besluiten gevolgd. Crisismanagement en Bedrijfshulpverlening hebben

Bedrijfscontinuiteit Kleine Stappen en Toch Sneller Thuis (Def)

Documents

Transcript of Bedrijfscontinuiteit Kleine Stappen en Toch Sneller Thuis (Def)