Onze diensten

Kennisexpert William over het opstellen van een Business Continuity Plan

Datum: 19-07-2023

Onze QSN consultant William Kulk helpt diverse bedrijven met informatiebeveiliging en is onze kennisexpert op het gebied van Business Continuity Management. In deze blog vertelt hij hoe jouw organisatie aan de slag kan gaan met het opstellen van een Business Continuity Plan (BCP). In het BCP staan procedures voor de bedrijfscontinuïteit bij een calamiteit of ander crisis situatie van de bedrijfsvoering.

Waarom is Business Continuity belangrijk?

”Business Continuity is belangrijk omdat organisaties zich steeds bewuster worden van hun afhankelijkheid. Afhankelijkheid van IT leveranciers, afhankelijkheid van toeleveranciers en afhankelijkheid van andere stakeholders. Daarnaast geldt, in het geval van verwerken van persoonsgegevens, een ketenverantwoordelijkheid bij uitbesteding van werkzaamheden. Ondernemers en managers stellen zich terecht vragen als: ‘Wat zijn de gevolgen als het netwerk van mijn provider plotseling uitvalt? In hoeverre heb ik grip op dat ene geoutsourcete, maar niet minder kritische, proces? Wat is het effect op mijn levertijd als ergens anders in de supply chain een bedrijf zijn deuren sluit?’ Kortom, deze afhankelijkheid brengt een hoop vragen en uitdagingen met zich mee en zorgt ervoor dat organisaties zich steeds beter willen voorbereiden op het onbekende. Business Continuity Management haakt daar op aan en probeert blinde vlekken weg te nemen en risico’s te beheersen. Hierbij focust Business Continuity Management zich enerzijds op het implementeren van processen en maatregelen die je moeten beschermen tegen verstoringen (preventief) en anderzijds op de kunde om in geval van ernstige verstoringen de impact ervan zoveel mogelijk te beperken (regressief).”

Wordt Business Continuity ook genoemd in certificatie normen?

“Business Continuity komt onder andere terug in de ISO 27001 norm over informatiebeveiliging en de NEN 7510 norm over informatiebeveiliging in de zorg. Daarnaast is er ook een speciale norm voor Business Continuity namelijk de ISO 22301. Het is aan te raden om voor Business Continuity binnen iedere organisatie een Business Continuity Plan op te stellen.”

Wat zijn de voordelen van het maken van een Business Continuity Plan?

”Een Business Continuity Plan heeft drie grote voordelen. Het eerste voordeel is dat het een framework biedt om de veerkracht van de organisatie te versterken. Business Continuity Management is een breed begrip dus een Business Continuity Plan bestaat ook uit verschillende disciplines, denk bijvoorbeeld aan ontruimingsplannen, crisiscommunicatie, pandemie maar ook aan risico’s bij uitval van IT of het vertrekken/uitvallen van een sleutelfunctionaris. Een ander belangrijk voordeel is dat je als organisatie adequaat kan handelen. Door een Business Continuity Plan op te stellen breng je de relevante risico’s in kaart, inclusief een bijbehorend stappenplan hoe te handelen als zo’n scenario werkelijkheid wordt. Het derde en laatste voordeel is dat risicomanagement een integraal onderdeel wordt van de organisatie. Het ultieme doel is dat risicomanagement binnen de organisatie en processen wordt ingebed en dat het werkbare en toepasbare maatregelen oplevert, zowel op preventief als regressief niveau.”

Wie stelt het Business Continuity Plan op?

”Ik raad af om een Business Continuity Plan alleen op te stellen. Betrek altijd een dwarsdoorsnede van de organisatie bij het plan. Denk bijvoorbeeld aan een MT lid, HR medewerker, Security Officer maar ook de Office Manager of zelfs de Inkoper. Als jouw organisatie er voor heeft gekozen om bepaalde kritische processen uit te besteden is het ook belangrijk om deze leverancier te betrekken bij het opstellen van het plan.”

Hoe start je met het opstellen van een Business Continuity Plan?

”De basis van een goed Business Continuity Plan begint bij het uitvoeren van een risicoanalyse. Analyseer de kritische bedrijfsprocessen met collega’s en bepaal welke risico’s de continuïteit van de organisatie in gevaar kunnen brengen. Als vervolgstap kun je voor de kritische bedrijfsprocessen een Business Impact Analyse (BIA) uitvoeren. In een BIA bespreek je zaken als: wat is nu de aard van de uitval, wat is de maximale uitvaltijd, de gewenste oplostijd, wat zijn de directe consequenties? Vervolgens benoem je wat de mogelijke impact is voor bijvoorbeeld de financiën, reputatie van de organisatie of wet- en regelgeving. De derde stap is het bepalen van de strategie. Welke risico’s wil je opnemen in je Business Continuity Plan? Geef daarbij antwoord op vragen als: ‘Wie neemt de leiding? Wie communiceert met medewerkers en klanten? Van welke leveranciers ben je afhankelijk?’ Het antwoord op deze vragen leg je vast in een stappenplan, het liefst zo simpel en helder mogelijk. De vierde en laatste stap is een combinatie van implementeren en evalueren. Bij implementeren kijk je naar welke maatregelen je gaat inregelen in de organisatie en hoe je deze gaat communiceren met medewerkers. Bepaal ook welke medewerkers een specifieke rol vervullen in het Business Continuity Plan en breng ze op de hoogte van hun taken en verantwoordelijkheden. Evalueren houdt in het periodiek actualiseren en verbeteren van je Business Continuity Plan, op basis van nieuwe ontwikkelingen of na het testen van een van de scenario’s.”

Hoe ziet een Business Continuity Plan er inhoudelijk uit?

”Voordat wordt begonnen met het koppelen van risico’s aan scenario’s en te volgen stappen, is het belangrijk om een aantal randvoorwaarden af te stemmen. Geef bijvoorbeeld antwoord op vragen als: ‘Wat is de scope van het plan? Wie is verantwoordelijk voor de actualiteit en het testen van het plan? Welke aannames zijn in acht genomen bij het uitwerken van de scenario’s? En hoe wordt toegang tot het plan geborgd?’ Dit soort zaken leg je vast in het eerste hoofdstuk van je Business Continuity Plan. Vervolgens ga je aan de slag met het uitschrijven van de scenario’s. Ik maak hierbij vaak gebruik van het flowermodel van QSN, waarin verschillende scenario’s zijn uitgeschreven. Je kunt bijvoorbeeld een scenario verzinnen voor een langdurige uitval. Denk daarbij aan een grote brand op kantoor. Een scenario voor informatiebeveiliging, denk aan een ransomware aanval. En een scenario voor personeelsmanagement, bijvoorbeeld het wegvallen van een directielid. In het tweede hoofdstuk beschrijf je dus per scenario hoe je moet handelen in het geval dat de desbetreffende verstoring zich voordoet. In het derde hoofdstuk van het Business Continuity Plan benoem je de contactpersonen. Benoem deze per team, zodat iedereen weet wie er in een team zit, wat hun rol is en hoe ze bereikt kunnen worden. Hetzelfde geldt voor leveranciers. Ten tijde van een verstoring of calamiteit wil je niet bezig zijn met zoeken naar geschikte of betrokken leveranciers en hun contactgegevens. Maak dus een overzicht van alle leveranciers die nodig zijn om een verstoring op te lossen en leveranciers die mogelijk geraakt worden door de verstoring. Daarnaast kun je er voor kiezen om ook de relevante hulpdiensten te benoemen in je Business Continuity Plan. Ten slotte wordt een logboek opgenomen. In het logboek leg je relevante activiteiten vast. Zo blijven betrokkenen op de hoogte van de actuele situatie en kun je calamiteiten na afloop beter evalueren.”

Hoe houdt je een Business Continuity Plan actueel?

”Mijn advies is om minstens eenmaal per jaar een scenario uit het plan te testen. Ga hier zo pragmatisch mogelijk mee om. Je laat bijvoorbeeld geen ‘live’ klantomgeving uitvallen om te kijken hoe snel je weer in de lucht bent vanaf de uitwijklocatie. Je kunt het scenario wel simuleren door een soortgelijke testomgeving in te richten, deze te voorzien van dummiedata, mee te nemen in de reguliere back-up en die back-up terug te zetten naar een uitwijklocatie. Door dergelijke scenario’s te oefenen, weet je wat je moet doen als het echt fout gaat. Belangrijk bij het testen van scenario’s is vooraf de verwachte uitkomst te bepalen en deze te vergelijken met de daadwerkelijke uitkomst. Door deze verschillen te vergelijken kun je je stappenplan verbeteren en maak je je organisatie uiteindelijk steeds iets bestendiger. Daarnaast is het raadzaam om je Business Continuity Plan periodiek te controleren op juistheid en volledigheid. Zijn er nieuwe scenario’s bijgekomen, bijvoorbeeld omdat je een nieuwe dienstverlening bent gaan doen? Of zijn bestaande scenario’s gewijzigd door bijvoorbeeld een verhuizing naar een nieuw pand of door veranderingen in wet- en regelgeving?”

Zijn er nog valkuilen bij het opstellen van een Business Continuity Plan?

”Een bekende valkuil bij het implementeren van Business Continuity Management is dat organisaties zaken vaak te complex maken. Denk bijvoorbeeld aan het insluiten van deelprocessen die in het kader van Business Continuity eigenlijk helemaal niet zo relevant zijn. Mijn tip is dan ook om te beginnen met enkel het beschrijven van de meest kritische processen en daar vervolgens een stappenplan en eventuele actiehouders aan te koppelen. Hetzelfde geldt eigenlijk voor het stappenplannen. Het is niet erg als je stappenplan maar voor 90% compleet is. Het belangrijkst is dat je een goede basis neerzet. Door het periodiek testen, evalueren en bijschaven van het stappenplan zal je zien dat Business Continuity Management steeds beter gaat. Keep it simple.”

Heeft jouw organisatie hulp nodig bij het opstellen van een Business Continuity Plan? Neem contact met ons op via info@qsn.nl of 0252-547000.

Contact

BCP