Business Continuity Management is geen speeltje van het IT team of de helpdesk. Het is serieuzer dan ooit door de 24 uurs economie en de toenemende globalisering. De continuïteit van je organisatie wordt steeds belangrijker. Niemand kan zich nog veroorloven om voor langere tijd “uit de lucht” te zijn. Sommige bedrijven zullen na enkele uren al de financiële gevolgen voelen en na een dag failliet zijn. Andere organisaties hebben misschien meer tijd maar zijn wettelijk verplicht om de continuïteit goed te regelen. De aanpak hiervoor wordt Business Continuity Management (BCM). We onderkennen de volgende onderdelen:

1. Business Impact Analyse (BIA)

Met een BIA wordt naar de waarschijnlijke impact bij het uitvallen van een proces gekeken en de snelheid waarmee de schade zich manifesteert. Door deze analyse worden bedrijfskritische en niet-bedrijfskritische processen van elkaar gescheiden en kunnen tevens de kritieke middelen binnen een bedrijf worden benoemd (zoals een gebouw en ICT infrastructuur). Een BIA is samen met de Risico Analyse de eerste stap om tot een business continuity plan te komen.

2. Risk Assessment (RA) (voor Business Continuity Management)

Binnen de RA, ook wel Risico Analyse genoemd, wordt bepaald welke criteria en omstandigheden er zijn voor het aanvaarden van risico’s. Het is een essentieel onderdeel van Business Continuity Management maar kan ook los worden uitgevoerd. Kritische activiteiten worden ondersteund door middelen zoals mensen, faciliteiten en ICT. De organisatie moet de risico’s die gepaard gaan met deze middelen in beeld brengen, net als de mogelijke bedreigingen die hieruit voortvloeien. Wanneer je een Risk assessment voorbereidt, zorg er dan voor dat je alle beschikbare bronnen gebruikt om de dreiging van een ramp te beoordelen. Dergelijke bronnen kunnen het volgende omvatten (maar zijn niet beperkt tot):

• Bedrijfsgegevens van storende gebeurtenissen.
• Herinnering aan werknemers van storende gebeurtenissen.
• Lokale en nationale mediadocumenten.
• Lokale bibliotheken.
• Organisaties met eerste meldingen.
• Historische gegevens van weerberichten.
• Geologische kaarten en andere documentatie.
• Ervaring met belangrijke aandeelhouders.
• Ervaring van verkopers die zaken doen met het bedrijf.
• Overheidsinstanties.

3. Business Continuity Plan (BCP)

Na de bovengenoemde analyses wordt in een BCP vastgelegd welke maatregelen zijn genomen om de continuïteit van bedrijfskritische processen te verzekeren. Bijvoorbeeld bij een grote calamiteit. Een BCP bevat zowel technische als niet-technische elementen. In dit artikel richten we ons op de ICT kant van Business Continuity Management.

4. Disaster Recovery Plan (DRP)

Met betrekking tot de ICT van een organisatie speelt disaster recovery een essentiële rol binnen Business Continuity Management. In het DRP is uitgewerkt hoe een organisatie handelt bij downtime van systemen en wat er aan gedaan moet worden om deze systemen weer te herstellen en te beschermen. Per proces en systeem spelen twee waarden een belangrijke rol: de Recovery Point Objective en de Recovery Time Objective.

5. Recovery Point Objective (RPO) en Recovery Time Objective (RTO)

Binnen Business Continuity Management zijn RPO en RTO belangrijke begrippen die corresponderen met het begrip disaster recovery. Per applicatie of infrastructuur wordt de RPO bepaald. De RPO is het punt in tijd voorafgaand aan de storing tot waar men minimaal data moet kunnen herstellen. Naast de RPO wordt per applicatie of infrastructuur bepaald wat de RTO moet zijn. De RTO is de tijdspanne waarbinnen het functioneren van de systemen tot een acceptabel niveau hersteld moet zijn.

Van disaster recovery en -avoidance naar disaster tolerance

Bij disaster recovery is het doel om na een incident de systemen weer te herstellen en zodoende de impact te verkleinen. In het geval dat de RPO en RTO waarden tot een minimum beperkt zijn, is naast disaster recovery, ook disaster avoidance van toepassing. Het doel is in eerste instantie immers om het risico van downtime en dataverlies dusdanig te verkleinen, dat impact tot een minimum wordt gereduceerd en zo schade wordt voorkomen.

In een ideale situatie zijn de RPO en RTO waarden 0. Dit betekent dat de infrastructuur bij een calamiteit blijft functioneren en er geen data verloren gaat. Vanzelfsprekend heb je dan ook geen recovery time. In dat geval spreken we van een disaster tolerante oplossing.

Een disaster tolerante oplossing is interessant voor bedrijven die kiezen voor betrouwbaarheid en waarbij een korte onderbreking van een systeem een grote impact op de bedrijfsvoering kan hebben met financiële schade als gevolg. Medewerkers en klanten merken niets van de calamiteit maar daar hangt wel een behoorlijk prijskaartje aan.

Discussieer mee op LinkedIn.