| Strategische keuzes zijn belangrijk. Je hebt een Business Impact Analyse (BIA). Je hebt een risico analyse (RA). Is het nu al de moment om een Business Continuity Plan (BCP) te maken? Het kort-door-de-bocht-antwoord is “neen”. Op basis van de BIA en de RA maakt men de strategische keuzes. Dit zijn principiële beslissingen van het management om de richting aan te geven waarin ze aan oplossingen gewerkt wil zien. Dit is niet zonder consequenties, en vaak staat er ook een kostenplaatje tegenover. | In deze bijdrage geef ik mijn eigen opinie, niet die van enige organisatie. |
Neem de tijd en maak basic overwegingen
Het tijd nemen om de opties te bekijken voor de verschillende strategieën zorgt er voor dat
- Je de voordelen en nadelen ziet van de gebruikelijke maatregels.
- Je gekozen maatregelen gefundeerd, robuust en wel overwogen zijn.
- Je de beste kosten-baten tools en maatregelen kan kiezen op maat van uw situatie.
Overweeg tevens de volgende zaken bij het maken van keuzes:
- Personeelsveiligheid is topprioriteit.
- Spreek met de mensen in het crisis management team (CMT) en crisis communicatie team (CCT) en beslis niet zonder hun mening mee te overwegen.
- Laat de strategische keuzes bekrachtigen door de hoogste in rang.
Beschouw tevens de impact, niet de gebeurtenissen. Groepeer een aantal gebeurtenissen samen om meer flexibele plannen te maken. Bijvoorbeeld, brand, overstroming, bommeldingen, anthrax-brieven kunnen aanleiding geven tot een “gebrek van toegang tot het gebouw”. Dan kan je het in zijn geheel of ten dele gebruiken in meerdere situaties, of zelfs in combinatie met andere scenario’s.
Maar wat zijn nu eigenlijk strategische keuzes? Wat kan men zoal kiezen?
Welke strategische keuzes zijn er
Voor elke probleemsituatie in je BIA en RA moet je een beslissing maken wat je er aan gaat doen. De facto zijn er zes strategieën mogelijk:
- Doe niets
- Neem een verzekering
- Verplaats het proces via outsourcing
- Verminder het risico
- Maak een BCP
- Een combinatie van een aantal bovenstaande opties
Elk van de vijf basisopties heeft voordelen en nadelen. Ik geef er hier enkele:
| Basisoptie | voordelen | nadelen |
| doe niets – aanvaard het risico en de mogelijkheid dat het proces stilvalt | goedkoopgemakkelijk | proces kan stoppenvertrouwensbreuk, reputatieschade |
| neem een verzekering | relatief gemakkelijkhet geld kan compenseren | proces kent geen directe doorstartkan duur zijnvertrouwensbreuk, reputatieschade |
| verplaats het proces via outsourcing | legt het risico en de aansprakelijkheid bij een ander | proces is niet beschermd indien een risico optreedt bij die ander |
| verlaag het risico – neem maatregelen die inwerken op kans en impact | kan kosteneffectief en kostenefficiënt zijnkan andere verantwoordelijkheden bevoordelen | kan duur zijnkan mensen en middelen nodig hebben |
| maak een BCP – neem maatregelen om het proces elders of op een andere manier uit te voeren | continuïteit op een flexibele manier | kan nieuwe / andere maatregelen vereisen. |
De uiteindelijke beslissing is een afwegen van kosten versus baten, versus de kost van niets doen. En deze beslissing moet je gelukkig niet alleen nemen. Want uiteindelijk moet je die mensen consulteren van wie het onderwerp in zijn dagelijks expertisegebied ligt. Onthoud daarbij goed dat de kost niet steeds een financiële kost is. Het kan geld zijn, maar ook levens, vertrouwen, reputatie, verlies van leveranciers, verlies van opportuniteiten…
Waarvoor moet je strategische keuzes maken?
De strategieën die voortvloeien uit de BIA en RA kunnen te maken hebben met: (niet-limitatieve lijst)
- Mensen
- Iedereen moet weten dat personeelsveiligheid eerst komt.
- Iedereen moet weten wat hij moet doen en waar hij zijn instructies haalt
- Jobrotatie zodat je kan overnemen van een collega
- …
- Terreinen en gebouwen
- Herstel-locaties intern aan de organisatie of extern
- Telewerk
- Gebruik van concullega
- Disaster recovery site voorhanden
- …
- Leveranciers
- Zorg voor een reservestock
- Eis continuïteit van je leverancier
- Kan hij eenvoudig op een alternatieve locatie leveren?
- Leer zijn concullega’s kennen
- …
- Informatie
- Zorg voor confidentialiteit, integriteit en beschikbaarheid van de data.
- Overweeg andere media dan digitaal.
- …
- Technologie
- Hanteer het fail-safe principe
- Zorg voor fail-over bij machines
- Stem de RTO’s van machines af met de SLA’s van het onderhoud.
- Zorg dat back-ups geen last hebben van dezelfde bedreiging.
- Verzeker toegang op afstand.
- …
- Reputatie
- Voorzie effectieve en efficiënte communicatie naar alle partijen, en manage hen.
- …
- …
Enkele voorbeelden van strategische maatregelen:
| Strategische optie | Beschrijving strategische optie |
| BCP | Plannen om te bepalen wat men moet doen tijdens uitval van deze processen/business. Ook noodcommunicatie valt hier onder. |
| Cold Site | Dit is een site die beschikbaar is en geschikt is om de ICT over te nemen, typisch de serverzaal, maar ze heeft tijd nodig om naartoe te switchen o.a. wegens nog op te starten. |
| Data Back-ups locatie | Dit is waar de back-ups van de gegevens bewaard worden. Het is afgezonderd van de data storage locatie. Zorg er voor dat een bedreiging van de primaire data niet gemakkelijk een bedreiging is voor de back ups. |
| Hot Site | Dit is een site die kant en klaar staat voor gebruik door ICT op elk moment van dag en nacht. Switchen naar deze site kan onmiddellijk en is in principe naadloos. |
| Multiple Sites | Meer dan een locatie / site hebben is soms een geografisch voordelige zaak. Het is daarbij zaak om de sites zo te organiseren dat ze elkaars overload of taken kunnen overnemen als dit nodig blijkt. |
| Reciproke arrangementen | Dit zijn overeenkomsten waarbij twee processen of activiteiten/organisaties overeenkomen dat ze resources uitwisselen naargelang de noden en wat kan, als een van beide in een situatie verkeert waar dit nodig is. Beide partijen komen overeen om hun activiteiten te verminderen of stil te leggen. Dit wanneer de andere partij zijn processen beschadigd zijn of onderbroken werden, met als doel de nodige resources te bezorgen. |
| Herstel locatie | Dit is een locatie bedoeld en ontworpen als een plaats waar een specifiek proces heropgestart wordt. Dit kan in-house zijn of binnen de perimeter van een andere organisatie. |
| Telewerken | De mogelijkheid voorzien voor medewerkers om op een andere locatie dan op bureel te werken. Vaak is dit thuiswerk. |
| SLA’s | Overeenkomsten die bepalen hoe lang een (gecontracteerde) partij een dienst moet uitoefenen, en volgens welke specificaties. |
| Supply chain resilience | Het kennen van alternatieve leveranciers voor alle nodige hardware, software en diensten. |
| Technology failover | Systemen hebben die elkaars taken kunnen overnemen als een bedreiging een van hen uitschakelt. |
| Warehoused stock | Producten en componenten offsite stockeren zodat supply ervan gegarandeerd is als de hoofdlocatie getroffen is door een bedreiging. |
| Warm site | Een site die klaar staat voor gebruik maar enkele kleine routineacties vergt om het een hot site te maken. Dit kan betekenen het opzetten van equipment en het herlocaliseren van resources in zeer korte tijd naar deze site. |
| Inventariseer | Breng alle processen en kritieke infrastructuur en equipment in kaart en maak handleidingen waar nodig. |