Auteur: Manu Steens
In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.
Vrij naar een artikel van Gregg Jacobsen en Sue Kerr: “Crisis Management, Emergency Management, BCM, DR: What’s the difference and How do They Fit Together?”
Onlangs kreeg ik de vraag welke rollen er zijn binnen BCM en wat de verantwoordelijkheden daarvoor zijn. Ik kan deze vraag niet zonder meer beantwoorden zonder uitgebreid nazicht van een massa BCP’s e.d.m. maar een aantal rollen zijn weggelegd voor een aantal teams. Elke organisatie moet daarover zijn eigen wijsheden uiten. Maar een aantal zaken zijn wel beschreven door de groten van BCM.
Er zijn twee grote visies over BCM: deze uit Amerika en deze uit Groot Brittannië. In de USA ontstond de DRII (Disaster Recovery Institute International) en in Engeland ontstond The BCI (Business Continuity Institute). Deze twee instituten zijn naar elkaar toegegroeid in die zin dat ze overeengekomen zijn wat de tien nodige skills zijn van een 100% volwaardige Business continuity expert. In The BCI kan deze persoon daarvoor, na uitgebreid bewijs van zijn kunnen, zelfs de titel “Fellow of the BCI” voor dragen. En daarmee weten we dan ineens waar het in BCM zoal rond draait.
In dit documentje beschrijf ik deze tien vaardigheden ivm BCM en daarin zitten dan ook een aantal verantwoordelijkheden voor de teams van BCM ‘verborgen’. Nadien geeft dit document de verantwoordelijkheden aan en hoe de teams kunnen interageren.
Inhoud
- De tien vaardigheden:
- Programma initiatie en management
- Risico evaluatie en controle
- Business Impact Analyse
- Business Continuïteit Strategieën
- Nood- en rampenplanning en nood- en rampenoperaties (Emergency Response en Operations)
- Business Continuïteitsplannen
- Awareness en Training programma’s
- BCP oefening, audit, en onderhoud
- Crisiscommunicaties
- Coördinatie met externe agentschappen / partijen.
- De teams
De tien vaardigheden:
Programma initiatie en management
Hierbinnen definieert men de scope van elke component de moet meegenomen worden in het programma. Zo vraagt men zich af of alle locaties opgenomen zijn, wie zal het programma leiden? Wie zal het sponsoren? Wat zijn de objectieven van het programma? Wat is de tijdspanne waarin het moet uitgevoerd worden en geïmplementeerd? Hoe geeft men het geheel welke structuur?
Risico evaluatie en controle
Hoewel het belangrijk is om de organisatie te onderwerpen aan een benadering die alle benaderingen insluit, is het eveneens belangrijk om de risico’s in detail te kennen die de organisatie ondergaat. Tijdens deze fase evalueert men risico’s gebaseerd op gebeurtenissen of de omgeving die negatieve impact op de organisatie kunnen hebben. Dit omvat tevens mensen, faciliteiten, en technologieën. Het Crisis Management Team (CMT), het Emergency Response Team (ERT), de Business Continuïteitsteams (BCT’s) en het Disaster Recovery Team (DRT) moeten allemaal betrokken zijn in het identificatieproces van de mogelijke risico’s, waarbij ze zowel de kans, de impact als de bestaande en de te nemen maatregelen identificeren.
Business Impact Analyse
Dit is een effectieve methode die door elke groep moet gebruikt worden om de impacts en afhankelijkheden te bepalen voor de organisatie waartoe zij behoren. Ze bepalen de RTO (Recovery time objectives) voor zowel de business als de door haar gebruikte technologieën. De nood-teams (Emergency response teams) gebruiken deze informatie om te bepalen hoe ze bepaalde incidenten aanpakken. De BCT’s hebben deze informatie nodig om de afhankelijkheden te begrijpen en om te weten hoe ze ondersteuning kunnen leveren voor anderen, alsook voor het bepalen van de strategieën voor het garanderen van de continuïteit van de bedrijfsactiviteiten op een vooraf bepaald niveau. Het DRT gebruikt deze informatie om te bepalen hoe snel ze de nodige technologie terug in gebruik kunnen laten nemen door de business. Het CMT gebruikt deze informatie om de bedrijfsprocessen te prioriteren binnen het overkoepelende herstel.
Business Continuïteit Strategieën
Met de BIA en de Risico-evaluatie als basis ontwikkelt men de strategieën om de herstelfase mogelijk te maken. De noodteams moeten deze strategieën implementeren om een veilige en zekere evacuatie van het personeel en mogelijk te maken en kunnen nodig zijn om de business te assisteren in de implementatie van hun continuïteits- en herstelstrategie. De BCT’s en het DRT moeten die strategieën uitwerken en implementeren die de Business in staat stelt om terug te functioneren binnen een korte tijd op een vooraf bepaald niveau. Het CMT moet de algemene overkoepelende herstelstrategieën definiëren en implementeren. Dit inclusief de eventueel geautomatiseerde verwittigingssystemen, rampenplan-coördinatie en communicatie strategieën (o.a.). Een belangrijk deel van de basis voor deze strategieën zijn de RTO’s en RPO’s van de tijdskritieke processen van de organisatie.
Nood- en rampenplanning en nood- en rampenoperaties (Emergency Response en Operations)
De rampen planning en bijhorende operaties verzekert dat de organisatie klaar is voor een onmiddellijke bedreiging of incident. Hoewel de lokale autoriteiten zullen assisteren zodra ze klaar zijn en in de mate van het mogelijke, moet elke organisatie capabel zijn om interne respons te geven op een calamiteit tot de autoriteiten klaar zijn voor hun interventie. Deze activiteiten betrekken alle voorgenoemde groepen van de organisatie.
Business Continuïteitsplannen
Dit omvat het design, ontwikkeling, en implementatie van de plannen om de business te ondersteunen, inclusief de DRP’s. De ERT’s moeten bekend zijn met wat de business gaat doen als reactie op een calamiteit, zodat ze hen beter kan ondersteunen. Deze plannen voorzien een blauwdruk voor de BCT’s en het DRT voor een algeheel herstel. Deze plannen voorzien het CMT tevens van een overzicht van de tijdskritieke processen alsook van een timing voor opstart zodat het CMT beter kan coördineren en communiceren.
Awareness en Training programma’s
Indien een plan werd ontwikkeld en het ligt stof te vangen in een kast en niemand weet er van, dan is BCM een verspilling van geld, tijd en resources. Elk gebied/team moet een awarensess programma starten en onderhouden voor hun eigen plannen. Op vlak van awareness zijn er vele niveau’s vereist, inclusief een algemene awareness voor bedienden die niet moeten reageren, alsook voor hen die in de frontlinie staan.
BCP oefening, audit, en onderhoud
Alle plannen moeten getest worden om te verzekeren dat de organisatie weerbaar is ten tijde van een calamiteit. Daarvoor bestaan vele praktijken. O.a. Desk-top training, walk-through-training, simulaties, zandbakoefeningen,… Het type oefening hangt af van de objectieven van de oefening en van de maturiteit van de plannen en de organisatie en haar verschillende teams zoals vermeld hierboven. Elk team moet haar zaken uitvoeren en ‘lessons identified’ moeten aangeven waar de plannen kunnen bijgesteld worden. Audits kunnen er toe bijdragen dat elk van de plannen wordt getest, zodat de plannen worden onderhouden binnen het beleid van de organisatie.
Crisiscommunicaties
Hierbij moet men aandacht geven aan de bedienden, klanten, kopers, leveranciers, leidinggevenden, regelgevers, de community en de media. Waar mogelijk moet er een script van tevoren klaargemaakt worden voor dat er een incident gebeurt, om richting te geven aan de communicatie, alsook klaarheid intern en extern. Hoewel de aansprakelijkheid voor crisiscommunicatie ligt bij het CMT, is communicatie aanwezig en vereist tussen alle teams. Daardoor is er een gedeelde verantwoordelijkheid. Tijdens een crisis is communicatie primordiaal en moet iedereen weten waar wel en niet te communiceren.
Coördinatie met externe agentschappen / partijen.
Geen enkele organisatie is een eiland. Tijdens een calamiteit is het niet de moment om u te introduceren aan de autoriteiten en de naaste naburen. Dan is het daar te laat voor. Betrek hen waar mogelijk in uw oefeningen, om tot een betere verstandhouding te komen van de onderlinge verwachtingen. Verzeker hen er van dat je de basisregels goed beheerst, wat tot een positieve verstandhouding zal leiden en de kansen voor een herstel bevordert.
De teams
Crisis Management
Crisis Management: de overkoepelende coördinatie van de reactie van een organisatie op een crisis, op een effectieve en tijdige manier. Het doel is het voorkomen van schade of het minimaliseren er van aan de dienstbaarheid, de reputatie, en de mogelijkheid tot functioneren.
Crisis communicatie
Crisis communicatie: deze opereert in tandem met het Crisis Management, maar verzorgt daarvan de interne en externe communicaties. Het CCT plant de communicaties van en met het senior management, het ERT, het DRT en de BCT’s en hun families op voorhand, zodat zij op de hoogte zijn van de gang van zaken in de crisis.
Emergency Management
Emergency Management: dit is de reeks inspanningen die men doet om de voorbereiding te garanderen voor wanneer een gebeurtenis schade veroorzaakt aan eigendommen, processen, mensen. Voorbereidheid is gedefinieerd als volgt: de mogelijkheid die een organisatie of gemeenschap in staat stelt om te reageren op een noodsituatie in een gecoördineerde, tijdige en effectieve manier om het verlies van levens te voorkomen en de schade aan gezondheid, processen en patrimonium te minimaliseren. Zij beschouwt hiervoor een aantal bedreigingen in een initieel assessment, die reëel kunnen voorkomen, en de aard van de schade die daaruit voort kan komen.
Contingency planning
Contingency planning is het proces van het ontwikkelen van gevorderde regelingen en procedures die de organisatie in staat stellen om te reageren op een ongewenste gebeurtenis die negatieve impact heeft op de organisatie.
BCM breidt deze acties uit met voorbereidingen voor wat er moet gebeuren nadat een gebeurtenis feitelijk heeft plaatsgevonden. Daarom zal een goed BCP aangeven hoe de teams de geleden schade evalueren. (Zij treden dan op als schade assessment teams.) Zij bepalen tevens de prioriteit van de toewijzingen van de middelen voor het herstel.
Disaster Recovery
Disaster Recovery: dit is het technische aspect van BCM. De verzameling van middelen en activiteiten voor het herstellen of herinstalleren van IT diensten (inclusief componenten zoals de infrastructuur, telecommunicatie, systemen, applicaties en data) op een alternatieve locatie, volgend op een verstoring van de IT diensten.
Een mogelijke manier van interageren/rapporteren tussen deze teams kan dan als volgt gebeuren:
