Een bedrijf runnen zonder bedrijfscontinuïteitsplan (bcp) is een beetje als op fietsvakantie gaan in een vreemd land zonder bandenplaksetje. Dat gaat prima, totdat je een keer een lekke band rijdt. Daar sta je dan. Ook in het bedrijfsleven kan de meest simpele hobbel een verstoring veroorzaken die de efficiëntie frustreert.
Een bcp helpt de impact van onverwachte pech, groot of klein, te minimaliseren. Het kost echter vaak wel voor veel (kleinere) bedrijven veel moeite om een bcp op te stellen en intern te introduceren. Om dit proces soepeler te laten verlopen, is het slim om een managed serviceprovider (msp) in te huren die gespecialiseerd is in het formuleren én introduceren van een bcp. Deze partij maakt het plan uitvoerbaar en waterdicht.
Natuurramp
In een bcp staan procedures en stappen opgesteld die de belangrijkste bedrijfsactiviteiten draaiende moeten houden tijdens een onverwachte onderbreking of obstakel. Zo kan een organisatie slachtoffer worden van een cyberaanval of zelfs een natuurramp. Ook komt het voor dat een collega per ongeluk belangrijke gegevens wist en daarmee een proces stilvalt. Een bcp is hiervoor het backupplan en uitgebreider dan een rampenherstelplan. Het richt zich in de eerste plaats op het herstel van gegevens en de toegang tot de it-infrastructuur na een ramp. Bcp’s omvatten daarnaast ook voorzorgsmaatregelen voor bedrijfspartners, activa, processen, operaties, human resources, en elk ander bedrijfsaspect dat kan worden getroffen door een aanval.
Daarnaast is er altijd een handleiding waarin tot in detail is vastgelegd welke stappen bepaalde personen binnen het bedrijf moeten volgen tijdens een noodsituatie. Het bevat een checklist met gegevensback-ups, back-uplocaties, fysieke voorraden en apparatuur. In een BCP staat ook contactinformatie van belangrijk personeel, hun vervangers, hulpverleners en leveranciers van de back-uplocaties.
Alle scenario’s
Natuurlijk is iedere ramp uniek en is het onmogelijk om van tevoren te weten welke scenario’s zich in de toekomst gaan afspelen. Ook een bcp kan dat niet voorspellen. Wel worden in een bcp meerdere scenario’s zo gedetailleerd mogelijk uitgewerkt, zodat de organisatie precies weet wat te doen wanneer een bepaalde tegenslag zich voordoet.
Een zorgvuldig opgesteld bcp maakt een organisatie veerkrachtig en stelt deze in staat de lopende processen ondanks alles op een normale manier voort te zetten, zonder noemenswaardige gevolgen voor de inkomstenstroom. Als een organisatie hierin weet te slagen, kan dit ook een impuls geven aan hun reputatie en imago. Zeker wanneer een ramp wordt voorkomen en dat als nieuws naar buitenkomt, beïnvloedt een bcp direct positief het imago van een organisatie, als een geluk bij een ongeluk.
Risico
We leven in een tijd dat het aantal cyberaanvallen jaarlijks toeneemt en daarmee het risico om slachtoffer te worden dus ook. Bedrijven weten inmiddels dat een aanval niet een kwestie van ‘als’ is, maar van ‘wanneer’. Juist hierom hebben organisaties een bcp nodig. Een bcp verzekert niet achteraf maar voorkomt vooral problemen door het mogelijk te maken om snel te handelen. Verzekeren voor materiele schade is gebruikelijk, maar data verzekeren is dat (nog) niet.
Tot slot is het goed te weten dat een organisatie er nooit alleen voor staat. Msp’s helpen vaak ook bij het trainen van personeel voor een goede uitvoering, soms in samenwerking met hulpdiensten. De spreekwoordelijke vakantiefietser staat er dus nooit alléén voor met zijn lekke band en kan al vóór het wegrijden rekenen op eventuele hulp. Met een bcp plus ondersteuning van een msp zit de meest complete bandenplakset praktisch al in de fietstas en is de fietsenmaker nooit ver weg.
(Auteur Hans ten Hove is director Northern Europe bij Datto.)
Dat een BCP meer is dan een back-up zal duidelijk zijn, de vraag is echter of alle risico’s afgedekt zijn. Ik gooide in 2014 ooit eens een balletje hierover op in een opinie waarna balletje ging rollen omdat een reëel risico toentertijd het faillissement van een MSP was. Gezien faillissementsregister nog altijd een niet te onderschatten factor voor discontinuïteit want de inkomstenstroom van MSP’s is uiteindelijk niet gegarandeerd. En wat betreft de inhuur is het misschien goed om duidelijk te zijn in de relatie want vooraf de ‘sloepenrol’ opstellen is een prima plan maar het lijkt me niet gratis.