Oefenen en testen voor continuïteit en noodplannen

Oefenen en testen voor continuïteit en noodplannen

Geïnspireerd door PD 25666:2010 van British Standards

Auteur: Manu Steens

In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie.

Oefeningen en testen van een BCP en van noodplannen van een organisatie gebeurt omdat men moet zeker zijn dat de plannen en procedures geschikt blijven voor hun doeleinden, en dat de mensen bekwaamd blijven om ze uit te voeren. Immers, “Uebung macht den Meister”.

Daarom moeten oefeningen in een programma gegoten worden, dat men moet designen met volgende doelen voor ogen:

  • Gradueel verbeteren van de competenties en het vertrouwen van mensen.
  • Ervoor zorgen dat alle deelaspecten van incident response werken zoals gewenst.
  • Mee zorgen voor de integratie van de deelaspecten van de incident response tot een gecombineerde response.
  • Identificeren van de nodige verbeteringen aan de plannen en de response.
  • Aantonen dat de investering in de oefeningen opbrengt voor de organisatie.

De oefening moet tevens voldoende gedocumenteerd zijn voor een eventuele audit achteraf.

De outcome van elke oefening moet de continue verbetering zijn van de mogelijkheden van de organisatie om moeilijke tijden te doorstaan.

Het plannen van een oefening als een project

Het is kritiek om consensus te hebben waarom een bepaalde oefening vereist is. Daarom moet de oefening gedefinieerd worden vanuit een business case. Deze moet oplijsten wat de voordelen zijn van de oefening, en wat de objectieven zijn. Wanneer de objectieven geformuleerd zijn moet men in gedachten houden dat deze moeten gevalideerd worden, en dat men de evaluatiecriteria erop moet baseren. Daarom moeten ze SMART gedefinieerd worden: Specifiek, Meetbaar, Aanvaard, Realistisch en Tijdsgebaseerd.

De business case kan opgevat worden als een soort van project initiatie document zoals men dat kent uit PRINCE2. Dingen die daarin aan bod moeten komen zijn:

  • Een assessment van de bedrijfsrisico’s die geassocieerd zijn met het designen en uitvoeren van de oefening
  • De objectieven en outcomes en evaluatiecriteria
  • De te verwachten voordelen waar de oefening voor zal zorgen
  • Financiële middelen ter beschikking of tekorten
  • Organisatorische middelen en mensen ter beschikking of niet
  • Tijdsmogelijkheden en begrenzingen
  • Het commitment van de top.

Voor een kleine organisatie kan dit misschien allemaal uitgevoerd worden door een enkele persoon, maar voor een middelgrote of grote organisatie is er het samenwerken van een team nodig om tot een goed resultaat te komen. Daarbij kunnen alle delen van de organisatie vertegenwoordigd zijn. Zij moeten beschikken over de nodige kennis en kundigheid om hun taken in het team te voltrekken, en om te voldoen aan de vereisten op veiligheidsvlak, wettelijk en regelgevend vlak en contractuele verplichtingen.

Aandachtspunten van voorbereiding van de oefening

Timing

De timing moet de objectieven van de oefening dienen. Daarvoor:

  • Moet het minimaal verstorend zijn
  • Moeten de vereiste deelnemers ter beschikking zijn
  • Moeten de fysieke locaties, middelen, uitrusting en faciliteiten beschikbaar zijn.

Documentatie

Qua documentatie moet het team dat de oefening plant zorgen voor o.a.

  • Een tijdslijn voor de oefening
  • Een script en injects (zaken die toegevoegd worden, zoals bijv. een persbericht)
  • Multi-media materialen naar behoeven ten behoeve van het scenario
  • Records van de genomen beslissingen
  • Contactgegevens en communicatie voor de participanten
  • Documenten die de deelnemers een briefing geven over de oefening
  • Instructies voor acteurs en stafleden/medewerkers.

Ten behoeve van de design-review van de oefening

Voor de design-review van de oefening moeten alle middelen, inclusief de participanten gereviewd worden om er zeker van te zijn dat ze geschikt zijn en beschikbaar en kunnen tegemoet komen aan de objectieven van de oefening. Deze review kan volgende aspecten omvatten:

  • Financiën
  • Logistiek
  • Tijd en beschikbaarheid van alle deelnemers
  • De rollen en functies vereist voor de support van de oefening en de identificatie, training en beschikbaarheid van geschikte medewerkers voor support
  • Lessons identified van voorgaande events die relevant kunnen zijn
  • Geschikte locaties inspecteren voor gebruik
  • Uitrusting
  • Gebruik van simulatietechnieken en –materiaal
  • Het oefeningen scenario om te verzekeren dat het geschikt is voor de objectieven
  • Compliance met alle relevante gezondheids-, veiligheids- wettige en regelgevende en contractuele verplichtingen
  • Documentatie voor de oefening
  • Actueel zijn en geschiktheid van de plannen om terug te keren naar een normale situatie na de uitvoering van de oefening.

Voorafgaand aan het uitvoeren van de oefening

Voorafgaand aan het uitvoeren van de oefening moet de leider van de oefening:

  • De deelnemers, acteurs, observatoren en arbiters briefen over de oefening
  • De veiligheids-issues, communicatielijnen en locaties controleren
  • De mogelijks betrokken third-parties briefen over de communicatielijnen, protocols en processen
  • Alle deelnemers briefen over de communicatielijnen, protocols en processen
  • Alle deelnemers briefen over eventuele code-woorden en de bijhorende procedure voor het verdagen of afsluiten van de oefening om te kunnen reageren op een real-life event
  • Indien het voor de aard van de oefening het nodig is , een schrijven maken over de inhoud van de briefing en de details van alle deelnemers en belanghebbenden die de pre-oefening-briefing ontvangen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts