02 nov, 2021

De fundamenten van business continuity management

Hoe interne audits bijdragen aan een sterker security bedrijf - cyber security
02 nov, 2021

Business Continuity wordt gedefinieerd als het vermogen van een organisatie om, na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf bepaalde niveaus. Business Continuity Management gaat in essentie dus over het waken over de doelstellingen van een organisatie wanneer één en ander grondig fout loopt. Een organisatie kan aan risicobeheer doen en een performant preventiebeleid implementeren, maar 100% beveiliging bestaat niet. Er is altijd een kans op gebeurtenissen die de doelstellingen van een organisatie in gevaar kunnen brengen. En ook daar moet een organisatie zich op voorbereiden om de schade te beperken.

Hoe kan een onderneming zich beter voorbereiden op crisissituaties?

Elke organisatie moet eigenlijk een business impact analyse uitvoeren. Tijdens deze oefening wordt geanalyseerd waarvan de goede werking van bedrijfsprocessen en onderliggende activiteiten afhangen. Denk dan niet alleen aan de IT technische kant, maar ook aan de afhankelijkheid van sleutelpersonen (kennis en kunde), van faciliteiten (gebouwen, kanalen, …) en overkoepelend de relaties tussen deze afhankelijkheden en de noodzakelijke communicatie en informatieuitwisseling tussen de verschillende afdelingen, de externe partners, de leveranciers, de klanten, de pers, enz.

Wat ik geleerd heb uit de vele jaren praktijk is dat een goed werkend business continuity management samenhangt met goede communicatie en afstemming tijdens een crisis. Alle hoofden moeten in dezelfde richting staan en alles moet voorafgaand duidelijk afgesproken worden. Tijdens een crisis is er namelijk weinig of geen tijd voor discussie. Op dat moment moeten de zaken vooruit gaan.

Het beheren van een crisis staat of valt met documentatie, coördinatie en communicatie

Documentatie, coördinatie en communicatie liggen aan de basis van goed business continuity management. Topmanagement moet voldoende betrokken worden tijdens een crisis. Zij moeten te allen tijde geïnformeerd worden over de stand van zaken en over wat al dan niet gecommuniceerd kan worden, zowel intern als aan de buitenwereld.

Goede coördinatie is bovendien key. Tijdens een crisis moet iedereen weten wat van hem / haar verwacht wordt. Bouw daarom rollen en verantwoordelijkheden in het kader van business continuity management in in het dagdagelijkse takenpakket van betrokkenen.

Daarnaast is het ook van groot belang om bruikbare documentatie aan te leggen. Het kan gaan om contactgegevens, procedures, werkinstructies, technische schema’s, … Het is zinloos om documentatie te maken die je enkel zult gebruiken tijdens een crisis. Door documentatie te maken die evengoed gebruikt wordt tijdens de normale werking ben je tenminste zeker dat deze documentatie gekend is en actueel zal blijven. Uiteraard moet deze documentatie steeds beschikbaar zijn op het moment van een crisis.

Testen, testen, testen

Het beheer van een crisis optimaal voorbereiden kan enkel door het regelmatig organiseren van testen. Dit kan gaan van een simulatie-oefening op papier tot een volledig life end-to-end continuity test. Testen kost tijd en geld, maar is zeer leerzaam. Het is een goede zaak om zoveel als mogelijk te documenteren en voor te bereiden, maar deze voorbereiding en documentatie moet voldoende getest worden voor als er zich effectief een crisissituatie voordoet. Zo kan er tijdig bijgestuurd worden en vermijd je dat het business continuity plan dode letter wordt.

Pragmatisch starten

Ben je nog niet toe aan business continuity management, begin dan alvast met het op punt stellen van je incident management. De meeste crisissen beginnen bij de detectie van een incident. Hoe sneller en hoe beter de impact van incidenten kan worden ingeschat, des te efficiënter er kan gereageerd worden.

Tot slot wil ik het volgende meegeven: verwacht nooit dat je eerste plan een goed plan zal zijn of dat je eerste test succesvol zal verlopen. Documentatie en testing wordt beter door te gebruiken en te herhalen.

Bert Van Den Bogaert

Senior GRC consultant

Bij de business continuity assessment analyseren en evalueren we de huidige aanpak, strategie en plannen van uw organisatie.

De implementatie vereist specifieke expertise. Onze business continuity implementatieprogramma’s bieden vele mogelijkheden en een passende oplossing.

Met een business continuity manager hoeft u zich geen zorgen te maken over continuïteit. Hij/zij werkt actief mee om de weerbaarheid en veerkracht van uw organisatie verder te versterken.