Voor het omgaan met calamiteiten volgens business continuity management en disaster recovery zijn goed opgezette gestructureerde plannen nodig. Onderscheid kan worden gemaakt tussen een Crisis Management Plan (CMP) en een Business Continuity Plan (BCP). Het volgen van de strategieën in deze plannen kan helpen om geen kostbare tijd te verliezen maar een crisis in te dammen waardoor kan worden teruggekeerd naar een normale bedrijfsvoering.
Een Crisis Management Plan (CMP) is een draaiboek dat kan worden gebruikt voor de gehele organisatie. In het CMP moet naar voren komen hoe de Crisis Management Organization (het crisisteam) er uit komt te zien. Welke medewerkers moeten zitting nemen in het crisisteam? Welke taken en verantwoordelijkheden zijn nodig?
In de eerste plaats is het waarborgen van de veiligheid van de medewerkers en de bezittingen van de klanten en de organisatie aan de orde. Welke taken zijn er voor de bhv’ers bij ontruiming van de vestiging?
Een belangrijk onderdeel is de communicatie richting de medewerkers en de berichtgeving naar de buitenwereld. Hierbij moet snel en duidelijk de situatie en verwachtingen worden uitgelegd.
Medewerkers kunnen over de crisissituatie op de hoogte worden gebracht via het intranet. Bij uitval of onbeschikbaarheid van het bedrijfsnetwerk kunnen de medewerkers ook via een hiërarchische bellijst of via sms worden geïnformeerd.
De externe communicatie vraagt om zorgvuldigheid vanwege de reputatie van de organisatie. Speculaties en beschuldigingen moeten vooral worden vermeden. Informatie over eventuele slachtoffers kan het beste worden verstrekt via de politie.
Naar de buitenwereld kan worden verteld dat er een continuïteitsplan is en dat dit in werking is gesteld. Hierbij kan praktische informatie worden gegeven over bereikbaarheid, doorlooptijden en alternatieven. De te hanteren communicatiekanalen zijn: de pers, advertenties, de eigen website, het Contact Center en Twitter. Op Twitter is Webcare van belang voor het monitoren en reageren op tweets over de crisis.
Rampenplan
Het Business Continuity Plan (BCP) moet worden gezien als een rampenplan dat per afdeling kan worden opgesteld. Elke afdeling moet aangeven welke medewerkers verantwoordelijk zijn bij het opvangen van calamiteiten.
Met het maken van een Business Impact Analyse (BIA) kan in kaart worden gebracht wat de gevolgen zijn van de uitval van de verschillende bedrijfsprocessen. Dit leidt tot een inventarisatie van de bedrijfsprocessen en systemen met daarbij de acceptabele hersteltijd, Recovery Time Objective (RTO). Hierdoor wordt inzichtelijk welke processen het meest kritisch zijn. De lijst met applicaties kan worden gerangschikt op belangrijkheid en RTO.
Crisissituaties hebben onaangename eigenschappen. Ze vormen een dreiging voor de organisatie, hebben een verrassingselement, geven veel onzekerheid en er moeten in korte tijd beslissingen worden genomen.
Doordat geen enkele crisis dezelfde is, moeten meerdere scenario’s worden uitgewerkt, elk met hun eigen aanpak. Het uitvallen van het openbaar vervoer waardoor de bereikbaarheid bemoeilijkt wordt, vraagt om een andere benadering dan situaties waarbij schade aan de vestiging ontstaat, waardoor deze voor onbepaalde tijd niet meer bruikbaar is.
Crises kunnen ontstaan door ongelukken (brand en waterschade) of weersinvloeden (storm) maar ook door bewuste menselijke handelingen (terreur, oorlog en cyberaanvallen). De ene situatie vraagt om een strategie om uit te wijken naar het secundaire datacentrum, terwijl bij een andere crisis de medewerkers vanuit huis kunnen doorwerken.
Testen en herzien
Plannen moeten tenminste één keer per jaar worden getest en herzien. Dit kan op basis van het voortschrijdend inzicht over de oefeningen van de uitwijk naar het secundaire datacentrum. Ook organisatorische ontwikkelingen en nieuwe of gewijzigde bedrijfsprocessen vereisen het regelmatig actualiseren van de plannen.
Voor het gestructureerd opzetten van de plannen kan gebruik worden gemaakt van disaster recovery planning software. Hiermee worden templates aangereikt voor het invullen van alle benodigde en complexe onderdelen die van belang zijn bij een plotselinge calamiteit. Gegevens van alle relevante zaken kunnen worden geïmporteerd en in de plannen worden geordend. Het gaat hierbij om data over stakeholders, leveranciers, medewerkers, locaties van vestigingen en applicaties met hun gewenste RTO. Disaster recovery planning software ordent per kritisch bedrijfsproces alle betrokken stakeholders, applicaties en verantwoordelijke medewerkers met hun contactgegevens. Leveranciers van deze sofware zijn bijvoorbeeld Strohl Systems en SunGuard.
Nog een belangrijke risico, dat vaak al aanwezig is, zonder dat er zich een calamiteit voordoet is die van het direct interne risico: denk aan kritische processen binnen de organisatie waar nu al minder dan 2 a 3 medewerkers van de hoed en de rand weten en die niet snel vervangbaar zijn (vanwege diepgaande kennis en vaardigheden), erg moeilijke vervangbare machines (vanwege kosten c.q. beschikbaarheid.
Aan de andere kant ga ook niet beveiligen tegen risico’s die ontwrichtend zijn voor de gehele samenleving. Ik hoorde ooit iemand roepen “hoe gaan we om bij een kernramp?”
Bij BCM is een heel erg goed gevoel voor “boeren gezond verstand” nodig. Geen ellenlange plannen en documenten. Trainen is belangrijker dan hele boekenkasten vol boeken.
Fear Sales.
Dat bovenal. Maar heel soms denk ik wel eens, waarom zou je van iets Standaard toch weer een heel commercieel verhaal moeten maken? Het is een gewoon IT standaard dat wanneer je zaken implementeert, wat dat dan ook zou mogen zijn, je altijd VERPLICHT een stap verder dient te kijken in de zin van….
Als er iets is dat niet kan of toch niet klopt, MOET je te allen tijde weer terug naar de laatste stap waar alles gewoon nog naar behoren functioneerde. Dat betekend dus ook dat je als Standaard gewoon groter denkt in de zin van ‘Wat zouden wij nodig hebben als…. onverhoopt de boel in stort?’ Of in brand vliegt, de service provider failliet is, mijn project niet wil lopen zoals ik het voor ogen heb?
Gewoon standaard na en door denken wat je dan nodig hebt om toch productie te kunnen blijven maken zoals beoogt. Door dit soort artikelen rijst bij mij werkelijk de vraag of dat gegeven, die discipline, nog wel bij de IT professional aanwezig is en word gebruikt.
Mijn voorganger criticaster hier stelt terecht iets Standaard aan de kaak. ICT/IT heeft alles te maken met de beschikbaarheid van Informatie. Als dit nu nog een issue is binnen de organisatie dan moeten flink wat IT professionals achter hun kruintje gaan krabbelen. M.i. is het namelijk nog steeds zo dat bepaalde vormen en typen van informatie, cruciaal voor continuiteit, gewoon geborgd moeten zijn.
Goed om het weer eens onder de aandacht te brengen. Uit kostenoverwegingen wordt dit maar al te vaak overgeslagen. De kosten om na een disaster op te starten zijn dusdanig hoog en maakt zo een verzekering om op te starten noodzakelijk. Belangrijk is het om de echte business kritische systemen te identificeren. Business kritisch is alles wat er voor nodig is om de organisatie zijn key processen weer te laten werken. Dit hoeft niet eens technisch te zijn, het zouden ook handmatige procedures kunnen zijn.
“Medewerkers kunnen over de crisissituatie op de hoogte worden gebracht via het intranet.”
~ Right 🙂
Alsof men daar gaat kijken…. Nu heeft onderzoek uitgewezen dat mensen bij alarm en dergelijke eerst gaan uitzoeken wat er aan de hand is voordat ze actie ondernemen om het pand te verlaten.
Overigens zijn we nu een systeem aan het testen “BHV Aanwezigheids assist” Deze informeert BHV-ers bij ongevallen en crisis en leuke is dat deze voor meerdere locaties en deellocaties werkt, maar ook over organisaties heen bij bijvoorbeeld verzamelpanden.
Ik doe dus veel research en kan je vertellen dat er veel misverstanden bestaan, dat plannen vaak hooguit voor compliance zijn en in de praktijk niet bekend zijn en door medewerkers niet gelezen worden. Daarnaast verlopen rampen heel anders dan de scenario’s worden voorbereid. Mensen zijn niet rationeel…. en om ze te prikkelen moet je echt dingen doen die opvallen.
Het uitwerken van stappenplannen is meestal een zaak van lage prioriteit en weinig aandacht want het prepareren van stappenplannen voor diverse calamiteiten en het regelmatig oefenen ervan kost altijd veel geld.
Maar als er een calamiteit zich voordoet dat moet alles in een keer wijken en moeten we zo snel mogelijk de business weer operationeel krijgen.
Dat is natuurlijk allemaal waar, maar organisaties moeten toch wat meer tijd besteden aan het uitwerken hiervan. Want ad-hoc reageren op een calamiteit is nooit goed zowel voor de mensen zelf als voor de business. As men nieuwe zaken implementeert moet men direct het fall back scenario definiëren. Dat scheelt tijd en geld voor de organisatie.
Dus daarom is het van essentieel belang dat Business Continuity de nodige aandacht krijgt binnen een bedrijf. Maak de juiste stappenplannen en zorg voor de juiste communicatie en betrek de juiste mensen erbij.