Bedrijfscontinuïteit Kleine stappen. en toch snel(ler) thuis

Transcriptie

1 Bedrijfscontinuïteit Kleine stappen en toch snel(ler) thuis

2 Wie is Jan Ploeg sinds 2009 Strategisch Informatiemanager VROM-Inspectie Adviseur Informatiebeveiliging en BCM Expanding Visions BV Verdonck, Klooster en Associates Algemene Rekenkamer hoofd Informatievoorziening en Automatisering lid PVIB / GvIB (2002?) Master of Security in Information Technology (2009)

3 Afstudeerthesis MSIT Tias/Nimbas Business Continuity Gedachte: Op praktijk gebaseerde aanpassing van de gebruikelijke BCMaanpakken Afstudeerbegeleider: Ernst Oud

4 De conventionele aanpak Voorbereiding BCM-beleid opstellen Programma-management inrichten start voorbeeld: British Standard Begrijp de organisatie Business Impact Analyse Dreigingen analyse BCM strategie vaststellen Bewustwording, cultuurverandering Programmamanagement Trainen, onderhouden & evalueren Ontwikkelen en implementeren BCM-reactie

5 Valkuilen van de aanpak (i) Analyses: alleen kwalitatief, zelden kwantitatief kans: hoog, midden laag impact: hoog, midden, laag uitkomsten BIA zeer afhankelijk deelnemers / gesprekspartners Recovery Time Objectives (maximale hersteltijd) blijken aan verandering onderhevig

6 Valkuilen van de aanpak (ii) Dreigingenanalyse nooit compleet duurt (te) lang uiteindelijk gaat het niet om de dreiging maar om de gevolgen de top 10 bedreigingen zijn vrijwel altijd gelijk brand, bliksem, stroomstoring, geweld, overstroming, etc.

7 Valkuilen van de aanpak(iii) BCM-traject duurt te lang, te lange spanningsboog BCM begint (bij top-management) pas te leven bij testen/oefenen Nogal wat BCM-projecten komen niet verder dan begrijp de organisatie

8 Valkuilen van de aanpak (iv) Het duurt te lang voordat de veerkracht van de organisatie daadwerkelijk toeneemt Voorbereiding BCM-beleid opstellen Programma-management inrichten Begrijp de organisatie BCM strategie vaststellen Ontwikkelen en implementeren BCM-reactie Trainen, onderhouden & evalueren doorlooptijd: 1 maand doorlooptijd: 3-4 maanden doorlooptijd: 4-6 maanden doorlooptijd: 8 15 maanden doorlooptijd: maanden

9 Op welke punten moet de aanpak anders? langdurige analyses voorkomen spanningsboog kort houden: tempo sneller veerkracht daadwerkelijk verhogen meer aandacht voor kosten-baten betrokkenheid en draagvlak top-management

10 Literatuurstudie Er is meer dan BS maar niet heus! Bekeken tijdens literatuurstudie: Code voor Informatiebeveiliging NEN-ISO/IEC 27002; BSI-Standard Notfallmanagement NIST NFPA 1600 PAS 77: 2006 ENISA Business and IT Continuity: Overview and Implementation Principle Van hetzelfde laken een pak!

11 De hoofdlijn 1. Preventie & Fundament Voorkomen is beter dan genezen brandpreventie fysieke beveiliging informatiebeveiliging ARBO-maatregelen En processen documenteren bedrijfshulpverlening 2. Bedrijfscontinuïteit Nu!!!! wat te doen als het vandaag mis gaat? hoe te overleven met huidige middelen? Indien nodig 3. Bedrijfs continuïteit Optimalisatie risico s verkleinen optimaliseren

12 Fase 1: preventie & fundament Maatregelen brand- en bliksemschade getroffen? Maatregelen genomen in het kader van Informatiebeveiliging? Fysieke toegangsbeveiliging van de panden op orde? Personeel in het dagelijkse werk beschermd, ARBO-maatregelen? BHV goed ingericht? Producten, processen, verantwoordelijkheden en afhankelijkheden beschreven Nee? Start dan nog niet met BCM! First things first! 1. Preventie & Fundament

13 Fase 2: Conitinuïteit nu!!! Stel: de brand, overstroming, stroomstoring etc. vindt vandaag plaats...hoe komen we dan uit deze crisis? uitgangspunt: huidige situatie, huidige middelen uitwegscenario s bepalen aandacht voor informatieverlies financiële gevolgen communicatie hoe sturen we tijdens de crisis (crisismanagement)? welke verantwoordelijkheden moeten we afspreken (BCMorganisatie in spé)?

14 Calamiteiten-scenario sessie bespreken aantal (3?) calamiteiten: wat doen we als het vandaag gebeurt? bepalen uitwegscenario s? aandacht voor informatieverlies financiële gevolgen communicatie Uitwegscenario s Communicatieplan Crisismanagementplan hoe aansturen tijdens crisis (crisismanagement)? wie legt uitkomst sessie vast en wie is in directie verantwoordelijk (BCM-organisatie in spé)? BCM-organisatie beheerplan

15 Crisismanagementplan Communicatieplan Uitwegscenario s BCM-organisatie beheerplan Test en oefenplan Opleidingsplan

16 Fase 2: Bedrijfscontinuïteit nu!!! Wat kan er misgaan? Hoe zouden we dit vandaag aanpakken? Crisismanagement & BCMorganisatie inrichten periodiek Bedrijfscontinuiteitsplan opstellen / aanpassen Oefenen en testen Evalueren (omgekeerde BIA) Maatregelen doorvoeren 1. Resultaat voldoende 2. Resultaat onvoldoende, met geringe investering verbetering mogelijk 3. Resultaat onvoldoende, alleen met grote investeringen verbetering mogelijk 3. Bedrijfs continuïteit Optimalisatie

17 En fase 3 dan? alleen indien fase 2 niet leidt tot acceptabel resultaat! gekozen kan worden voor een standaard traject maar dat kan dan vele malen sneller en in de tussentijd is de veerkracht toch al toegenomen omdat de organisatie op basis van de huidige situatie bedrijfscontinuïteit heeft ingericht Waarom niet tevreden met huidige situatie? Analyse Maatregelen overwegen kosten-baten analyse

18 Fase 3: optimalisatie focus: processen met onvoldoende korte hersteltijden (fase 2) vaststellen RTO analyse huidige situatie bepalen mogelijke maatregelen (alternatieven) kosten-baten analyse besluitvorming doorvoeren maatregelen testen/oefenen evalueren

19 Business Impact Analyse in de gebruikelijke BCM-aanpakken Analyses BIA Dreigingenanalyse Strategie bepalen BCMdocumenten schrijven Oefenen & Testen Evalueren leiden o.a. tot RTO s Maatregelen uitvoeren Omgekeerde Business Impact Analyse Wat kan er misgaan? Hoe zouden we dit vandaag aanpakken? BCMdocumenten schrijven Oefenen & Testen omgekeerde BIA = evalueren resultaten Eventueel extra maatregelen doorvoeren

20 Business Impact Analyse in de gebruikelijke BCM=aanpakken Analyses BIA Dreigingenanalyse Strategie bepalen BCMdocumenten schrijven Oefenen & Testen Evalueren leiden o.a. tot RTO s Maatregelen uitvoeren doorlooptijd: 4-6 maanden doorlooptijd: maanden Omgekeerde Business Impact Analyse doorlooptijd: 3-4 maanden

21 Bedrijfscontinuïteit Kleine stappen en toch snel(ler) thuis 1. Preventie & Fundament Voorkomen is beter dan genezen brandpreventie fysieke beveiliging informatiebeveiliging ARBO-maatregelen En processen documenteren bedrijfshulpverlening 2. Bedrijfscontinuïteit Nu!!!! wat te doen als het vandaag mis gaat? hoe te overleven met huidige middelen? Indien nodig 3. Bedrijfs continuïteit Optimalisatie risico s verkleinen optimaliseren

22 Voordelen pragmatische aanpak uitgangspunt is huidige situatie en niet de uitkomsten van pseudo-systematische analyses eerder resultaat, eerder testen, eerder betrokkenheid topmanagement: veerkracht sneller vergroot documenten (continuïteitsplannen) altijd synchroon met huidige situatie onnodige investeringen worden voorkomen, efficiënte inzet van middelen

23 Pragmatische BCM-maatregelen De Standaardmaatregelen bijvoorbeeld uitwijkvoorziening bij externe partij oplossen single point of failures redundant uitgevoerde voorzieningen / productielijnen zijn reeds lang bekend (voegen niets toe aan vakgebied) zijn vaak duur zijn vaak slapende maatregelen zijn vaak vaak ICT-achtige maatregelen zijn niet altijd de meest effectieve en efficiënte maatregelen en...een pragmatische en vernieuwende BCM-aanpak verdient dito BCM-maatregelen

24 Slimme BCM-maatregelen In nood leert men zijn vrienden kennen... Bouw een goede en duurzame relatie op met: klanten leveranciers OOV-en lokale functionarissen concullega s Ken de verzekeringspositie van de organisatie de verzekeraar is niet altijd je beste vriend verzekeringspositie van invloed op BCM-reactie Algemene voorwaarden en contracten eigen organisatie contractpartners (klanten en leveranciers)

25 Slimme BCM-maatregelen Juiste verhouding kosten en baten Kosten van de te nemen maatregelen moeten opwegen tegen de afname van het risico c.q. de verhoging van de veerkracht Ga op zoek naar maatregelen die ook in het dagelijkse productieproces hun meerwaarden hebben kosten delen geen slapende maatregel, wordt dagelijks gebruikt en dus beheerd Voorbeelden digitalisering bedrijfsprocessen en digitalisering documenten thuiswerkplekken (relatie met het nieuwe werken )

26 Slimme BCM-maatregelen Leg nadruk op communicatie (met klanten) Crisis-communicatie is zeer belangrijk Communicatie-middelen externen essentieel klanten leveranciers media overige stakeholders Vaker dan we denken is communicatie belangrijker dan herstel van processen

27 Slimme BCM-maatregelen BCM integreren in besluitvorming Aanschaffingen Investeringen Bedrijfsstrategie Risicobeheersing Nieuwe producten/diensten in de markt zetten Huisvestingsbeleid Aankoop machinerie/apparatuur Inrichting ict-dienstverlening Fusies/overnames/samenwerking

28 Spin-off tot nog toe Methode wordt nu bij twee organisaties gebruikt Methode wordt opgenomen in starters-kit BCM voor instellingen Hoger Onderwijs Boek over BCM bij (wsl. bij SDU) waarin deze pragmatische aanpak centraal staat (auteurs Jacques Cazemier, Dick Leegwater en Jan Ploeg)