Wat zijn nu eigenlijk de échte verschillen tussen crisismanagement (cm), business continuity management (bcm) en disaster recovery (dr)? Veel belangrijke beslissers binnen organisaties weten dit niet en dit kan rampzalige effecten hebben.
Kun je bijvoorbeeld zien wat er fout zou gaat als de volgende twee voorbeelden zo uitgevoerd zouden worden: (1) ‘Laten we de continuïteit van onze it beter borgen door een business continuity plan (bcp) op te stellen’. (2) ‘Als we het crisis management plan op orde hebben, weten we toch dat wij altijd onze it-dienstverlening kunnen blijven leveren?’.
Het verwarren van crisismanagement (cm), business continuity management (bcm) en disaster recovery (dr) kan leiden tot een rampzalig effect. Dit komt doordat niet alle kritische aspecten van cm, bcm en dr zijn geborgd tijdens een grootschalig incident. Een veelvoorkomende situatie is dat een organisatie goed voorbereid is met technische maatregelen bij it-uitval, maar niet heeft nagedacht over organisatorische maatregelen. Denk bij organisatorische maatregelen aan extra capaciteit voor de servicedesk en communicatie naar partners en klanten.
Er zijn twee belangrijke redenen waarom bovenstaande mis gaat. Ten eerste zijn de eigenschappen van de drie disciplines niet duidelijk voor een organisatie, wat verwarring schept. Ten tweede zijn de methodes vaak niet op de juiste manier geïmplementeerd. Dit eerste deel van een tweeluik over cm, bcm en dr schept meer duidelijkheid over deze disciplines en gaat in op de kenmerkende eigenschappen. Het tweede deel legt uit hoe organisaties dit op de juiste wijze kunnen implementeren binnen hun organisatie.
Begrippen, wat is nu wat
Het begint met de juiste betekenis geven aan deze drie termen. Zo heeft crisismanagement niet direct en alleen invloed op de it-dienstverlening. Crisismanagement omvat alle gebeurtenissen (grootschalige incidenten), die niet door de reguliere staande organisatie afgehandeld kunnen worden. Organisaties dienen vooraf vast te stellen wanneer een gebeurtenis niet meer door de reguliere staande organisatie afgehandeld kan worden. Daarom dienen de criteria voor een crisis te worden vastgelegd, alsook de procedure om een crisis als een ‘crisis’ te bestempelen.
Waar crisismanagement de focus heeft op het beheersen en oplossen van de crisis, richt bcm zich op kunnen blijven leveren van de kritische producten en diensten op een minimaal afgesproken en acceptabel niveau. Net als bij crisismanagement moeten organisaties hier vooraf de kritische producten en diensten identificeren. Ditzelfde geldt voor het minimaal acceptabele niveau van de dienstverlening. Men stelt deze zaken vast in een business impact assessment (bia).
Waar bcm zich vooral richt op het blijven leveren van de dienstverlening richt disaster recovery zich op het herstellen van schade. Oftewel het terug brengen naar de situatie van voor de crisis. Hierbij richt dr zicht voornamelijk op it, in detail op vitale data, it-systemen en infrastructuur.
Toch worden deze begrippen vaak door elkaar gehaald. Om dit te verduidelijken schetsen we de onderscheidende eigenschappen van deze drie disciplines.
Positionering van de drie disciplines
In nevenstaande figuur zijn de drie disciplines gepositioneerd op tijd en organisatorisch niveau. Op de organisatorische as is crisismanagement het meest strategisch gepositioneerd. Dit komt bijvoorbeeld door het mandaat. Een crisismanagement-organisatie neemt tijdens een crisis het volledige mandaat voor strategische besluitvorming over. Dit in tegenstelling tot bcm en disaster recovery, die slechts een beperkt mandaat krijgen voor besluitvorming ten tijde van een crisis. Bijvoorbeeld een recovery-team (dr) heeft slechts een mandaat over het herstellen van it-systemen en staat onder regie van het crisis management team.
Ook de benodigdheden van crisismanagement zijn anders dan bcm en dr. De expertise voor crisismanagement bevindt zich vooral in het senior managementteam, terwijl expertise voor bcm vooral gericht is op de proces organisatie-kant van het bedrijf en de aansturing daarvan. Dit valt vooral onder de tactische besluitvorming binnen organisaties. Ook het type oefening is zeer verschillend. Bij crisismanagement gaat men niet verder dan een simulatie van een crisis situatie. Terwijl bij dr er zelfs een echte uitwijktest kan plaatsvinden. Dit laatste geeft een veel hogere mate van zekerheid dat de genomen maatregelen daadwerkelijk functioneren tijdens een crisis-situatie.
Op de tijdsbesteding-as zijn ook verschillen waar te nemen. Waar crisismanagement vaak weinig voorbereiding vergt en relatief korte tijdslijnen kent tijdens een crisis, zijn de tijdslijnen voor bcm en dr vaak langdurig. Dit heeft voornamelijk te maken met het nemen van voorzorgsmaatregelen om uitval van business en it te voorkomen. Wanneer er zich dan toch een crisis-situatie voordoet, waar men moet overgaan naar bcm, loopt dit proces een stuk langer door, omdat de organisatie weer helemaal herstelt moet zijn voordat bcm uitgeschakeld kan worden.
Nu de verschillen tussen deze drie disciplines helder zijn, gaan we in ons volgende artikel in op hoe deze drie disciplines op de juiste manier in te richten. Ook dit gaat nog vaak mis. De drie disciplines worden in zo’n geval in silo’s geïmplementeerd, waardoor de synergie tussen de drie disciplines verloren gaat. Juist deze synergie zorgt voor extra stevigheid en weerbaarheid van de organisatie in een crisis situatie.
Diederik Hammer & Jurgen Schot, experts it-security, risk & compliance
