Wat zijn herstelstrategieën voor een bedrijfscontinuïteitsplan?

Written by Manu Steens in BCM 

Auteur: Manu Steens

In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie

Herstelstrategieën vormen deel uit van een bedrijfscontinuïteitsplan (BCP). Ze beschrijven hoe een organisatie moet handelen om de bedrijfsactiviteiten te herstellen na een verstoring of crisis. Sommige kunnen samengenomen worden.

Wat zijn de belangrijkste herstelstrategieën?

Enkele veelvoorkomende herstelstrategieën die je terugvindt in de literatuur zijn:

  • Gegevensherstelstrategieën
  • Faciliteitenherstelstrategieën
  • IT-herstelstrategieën
  • Communicatieherstelstrategieën
  • Personeelsherstelstrategieën
  • Leveranciers- en partnerherstelstrategieën
  • Financiële herstelstrategieën
  • Test- en oefenstrategieën

Inhoud

Wat moet je daarover weten?

Ik geef hier een elementaire uitleg en enkele contexten waarin herstelstrategieën relevant zijn.

  • Gegevensherstelstrategieën: Dit kunnen regelmatige back-ups van de belangrijkste gegevens zijn. Die sla je dan offsite op. Eens een disaster optreedt heb je gegevensrecovery nodig: het herstel van de gegevens, alsook procedures om deze gegevens terug te zetten.

Back-ups omvatten het plannen van het regelmatig bewaren van alle kritieke gegevens. Dit gebeurt op betrouwbare media, zoals aanbevolen in normen en standaarden. Versleuteling is aan te raden.

Dan is er de gegevensrecovery voor na een noodsituatie. Daartoe ontwikkel je stap-voor-stap procedures. Deze procedures zijn volledig in die zin dat ze ook verantwoordelijken aanduiden voor de uitvoering, en hun contactgegevens. Tenslotte geeft het een aanduiding voor het aantal testen met behulp van back-ups nodig zijn om erop te blijven vertrouwen.

Een veel voorkomend geval van gegevensproblemen is een datalek. Dit kan als als gevolg van cyberaanvallen of menselijke fouten (bijv. als gevolg van social engineering). Daar komt dan vaak afpersing bij kijken, en doet men beroep op het gerecht en het CCB.

Een politiek voorbeeld is wanneer een overheidsinstantie wordt getroffen door een cyberaanval waarbij gevoelige overheidsgegevens worden gecorrupteerd. De herstelstrategie kan dan deze gegevens terughalen tot de laatste beveiligde back-ups.

Een eerste politiek voorbeeld was in 2017 toen het Verenigd Koninkrijk werd getroffen door de “WannaCry” ransomware-aanval. Deze encrypteerde patiëntgegevens van een aantal National Health Services (NHS). Dit werd aangepakt door back-ups te gebruiken. Nadien implementeerde men strengere beveiligingsmaatregelen.

Een tweede politiek voorbeeld waren de Snowden-onthullingen. Dit betrof het openbaar maken van informatie van inlichtingendiensten. Toen hebben meerdere landen hun gegevensopslagbeleid herzien en encryptie toegepast op gevoelige informatie.

Een derde politiek voorbeeld betreft de GDPR in de Europese Unie in 2018. Daartoe moesten bedrijven en organisaties strategieën ontwikkelen om te voldoen aan de strengere gegevensbeschermingsnormen.

  • Faciliteitenherstelstrategieën: Dit betreft alternatieve locaties en tijdelijke werkruimten. Voordat thuiswerk op grote schaal gebruikelijk werd identificeerde men alternatieve werklocaties waar de activiteiten kunnen worden voortgezet als de primaire locatie niet beschikbaar is. Men zorgde voor toegang tot tijdelijke ruimten, zoals co-werkruimten, om de bedrijfsvoering snel te hervatten. Om dit mogelijk te maken werden wederzijdse afspraken gemaakt men naburige bedrijven en organisaties.

Voor alternatieve locaties had men bijvoorbeeld specifieke kantoorruimte of externe datacenters, die snel beschikbaar zijn om de bedrijfsvoering voort te zetten. Voor tijdelijke werkruimten kon men overeenkomsten sluiten met gespecialiseerde bedrijven en serviced offices om ervoor te zorgen dat werkruimten met de benodigde infrastructuur en faciliteiten tijdelijk maar tijdig klaar stonden. Ondertussen worden hun primaire faciliteiten hersteld.

Een mogelijke oorzaak is een natuurramp. Europa kent natuurrampen zoals aardbevingen of bosbranden, maar voornamelijk overstromingen staan in het collectief geheugen.

Een mogelijk voorbeeld van een probleem is wanneer tijdens protestmanifestaties of sociale onrust overheidsgebouwen beschadigd raken. De herstelstrategie zorgt dan deels de continuïteit van essentiële dienstverlening. Veel daarbij wordt momenteel, vanwege Covid19 in het recente verleden, opgenomen met telewerk.

Een politiek voorbeeld was tijdens de Kosovo-oorlog toen in 1999 veel overheidsgebouwen werden vernietigd. Als reactie op die crisis ontwikkelden een aantal internationale organisaties en de Verenigde Naties herstelstrategieën voor hun faciliteiten.

Een tweede voorbeeld was na de terroristische aanslagen in Madrid in 2004. Daarbij werden treinstations geviseerd. De Spaanse regering gebruikte toen herstelstrategieën om de getroffen stations snel te herstellen zodat het openbaar vervoer zijn taken kon hervatten.

Een derde voorbeeld was toen na de overstromingen in Centraal-Europa in 2013 landen zoals Duitsland en Tsjechië strategieën ontwikkelden om beschadigde wegen, bruggen, … te herstellen zodat de mobiliteit zich kon herstellen.

  • IT-herstelstrategieën bestaan uit een IT-herstelplan en failover en redundantie. Ontwikkel een plan met procedures op maat om de IT-systemen en netwerken te herstellen. Dit omvat hardware- en softwareherstelprocedures. Bij de failover en redundantie implementeer je oplossingen om kritieke systemen beschikbaar te houden in geval van een storing. Dit behelst het continuïteitsaspect in een crisis.

Bij het IT-herstelplan hoort een lijst van kritieke systemen, hardware- en softwarevereisten, en herstelprocedures met tijdschema’s. Dit is een van de resultaten van de Business Impact Analyse. Voor failover en redundantie gebruik je technologieën zoals failover-clustering, load balancing en geografische redundantie.

Een mogelijk probleem waarvoor dit nodig blijkt is een cyberaanval. Zoals bijvoorbeeld ransomware-aanvallen. Daarom moeten bedrijven en organisaties IT-herstelplannen hebben om snel essentiële systemen te herstellen.

Een eerste voorbeeld is wanneer een land het doelwit wordt van een grootschalige cyberaanval die kritieke overheidswebsites verstoort. De IT-herstelstrategie houdt dan niet alleen het (snel) herstellen van deze diensten in maar ook het verbeteren van de cyberbeveiliging.

Een voorbeeld was toen in 2007 Estland getroffen werd door een cyberaanval gericht op overheidssites en financiële instellingen. De oplossing bestond uiteindelijk uit een verbeterde cybersecurity en het herstel van de IT-infrastructuur.

Een tweede voorbeeld was de Stuxnet-aanval in 2010. Die was oorspronkelijk gericht op het Iraanse nucleaire programma. Het berokkende echter een hoop andere schade.

Als derde voorbeeld ontwikkelde men tijdens de COVID-19-pandemie in 2020-2021 IT-strategieën om de toegenomen vraag naar telewerken en online onderwijs, mogelijk te maken.

  • Communicatieherstelstrategieën. Deze omvatten een communicatieplan en alternatieve communicatiemiddelen. Het communicatieplan dient om interne en externe belanghebbenden te informeren over de lopende situatie Alternatieve communicatiemiddelen zijn zaken zoals satelliettelefoons of mobiele hotspots.

In een communicatieplan neem je een lijst op van contactpersonen, inclusief interne teams, externe partners, leveranciers en klanten. Je definieert de kanalen en methoden voor communicatie op voorhand. Daarnaast zorg je voor alternatieve communicatiemiddelen zoals satelliettelefoons, mobiele hotspots en webconferentieservices.

Een mogelijk gebruik van dit plan is een nationale noodsituatie zoals pandemieën of grootschalige natuurrampen. Dan moeten organisaties effectieve communicatiemiddelen en -plannen hebben om werknemers, klanten en leveranciers op de hoogte te houden.

Een voorbeeld is tijdens een politieke crisis of nationale noodsituatie, zoals de terroristische aanslag in de luchthaven van Zaventem in 2016. Dan moeten overheidsinstanties snel en effectief kunnen communiceren met het publiek. Dit is van belang om de bevolking op de hoogte te houden en rust te bewaren.

  • Personeelsherstelstrategieën gaat over de personeelsbezetting en de training van personeel. Personeel moet men snel kunnen mobiliseren ze moeten hun taken en verantwoordelijkheden tijdens een crisis op voorhand kennen. Zorg er daarom voor dat medewerkers getraind zijn in het omgaan met noodsituaties. Soms omvat de personeelsherstelstrategie het mobiliseren van extra medewerkers en het aanpassen van hun werkschema’s.

Voor de personeelsbezetting stel je een lijst op van cruciale functies en benoem verantwoordelijke medewerkers en back-up medewerkers.

Je zorgt voor training en bewustwording van het personeel over hun rol tijdens een crisis.

In het geval van een gezondheidscrisis, zoals Covid19, moeten organisaties plannen hebben voor de bescherming van personeel. Daarbij hoort het implementeren van thuiswerk en het bepalen van verantwoordelijkheden voor de operationele continuïteit.

Tijdens bijvoorbeeld een geopolitieke crisis zoals bij de aardbeving in Turkije in 2023 kan er behoefte zijn aan de inzet van extra personeel voor veiligheid van de bevolking en ordehandhaving.

  • Leveranciers- en partnerherstelstrategieën: Voor leveranciersrelaties onderhoud je tijdens ‘vredestijd’ goede relaties met belangrijke leveranciers. Daarnaast zorg je voor alternatieve leveranciers in geval van nood. Bij partnerschappen werk je samen met strategische partners aan gezamenlijke herstelplannen. Deze zijn door alle partijen samen te testen.

Met de kritieke leveranciers ontwikkel je goede relaties die ondersteuning verzekeren in geval van nood. Dit kan contractueel vastgelegd worden.

Je werkt regelmatig samen met strategische partners om gedeelde herstelplannen te ontwikkelen, te testen en te onderhouden. Herstelinspanningen worden samen gecoördineerd, ook in oefeningen.

Een voorbeeld betreft internationale handelsconflicten. Daarbij of bij douanebeperkingen moeten organisaties al over alternatieve leveranciers beschikken. Dit moeten ze van tevoren in hun toeleveringsketenplanning opnemen.

Een politiek voorbeeld is wanneer de EU betrokken is bij een internationaal handelsconflict, zoals met Rusland vanwege de oorlog in Oekraïne. Dat geeft onderbrekingen in de toeleveringsketen aan beide zijden. De oplossing blijkt het ontwikkelen van alternatieve toeleveringsroutes om de economische stabiliteit te behouden. Diversifiëren in het klantenbestand en leveranciersbestand is dan een overlevingsstrategie.

  • Financiële herstelstrategieën omvatten financiële reserves en verzekeringen. De organisatie houdt financiële reserves aan voor de operationele kosten inclusief herstel- en noodmaatregelen. Daarnaast zorgen ze voor passende verzekeringen. Voorbeelden daarvan zijn een captive en verzekeringen voor een bedrijfsonderbreking.

Tijdens economische crises moet men beschikken over financiële reserves kosten te dekken. Overweeg een mogelijk financiële herstructurering om stabiliteit te behouden. De regering kan dan financiële maatregelen nemen om de economie aan te zwengelen. Financiële middelen worden gebruikt om de economische stabiliteit te herstellen.

Een politiek voorbeeld van een regeringstussenkomst was tijdens de Fortis crisis. Een ander voorbeeld was tijdens Covid19 waarbij de Belgische overheden een financiële basisondersteuning voorzagen voor mensen die hun werk niet meer konden uitvoeren.

  • Test- en oefenstrategieën: Deze zijn het sluitstuk van elke strategie. Eerst is er het testregime. Test regelmatig de effectiviteit en efficiëntie van het herstelplan. Het doel van testen en oefenen zijn de Lessons Learned. Identificeer de verbeterpunten en leer van elke verstoring en pas het plan aan op basis van geïdentificeerde lessen.

Plan daarom regelmatige tests en oefeningen met crisisoefeningen die zich op het BCP en de herstel strategieën beroepen. Evalueer de resultaten, identificeer problemen in de plannen en verbeter de plannen en strategieën.

Organisaties simuleren best ook nationale noodsituaties om de respons en het herstel van verschillende herstelstrategieën te testen en te evalueren. Dit doen ze best in partnerschap met overheden waar nuttig en nodig.

Voorbeelden zijn wanneer nationale, provinciale of gemeentelijke overheden oefeningen samen of apart uitvoeren om de respons op verschillende noodsituaties te evalueren. Onderwerpen daarbij zijn divers, zoals natuurrampen, terroristische aanslagen of cyberaanvallen. Dit helpt om de maatschappij veerkrachtig te maken.

Conclusie

Er zijn meerdere soorten herstelstrategieën. Deze moet men regelmatig evalueren en herwerken om ze relevant en effectief houden. De bedrijfsomgeving verandert immers steeds. Elk van hen moet specifiek op maat van uw organisatie zijn.

Er kunnen zich verschillende crises voordoen die herstelstrategieën vereisen. Het is daarbij belangrijk op te merken dat de aard en omvang van crises kunnen variëren. De feitelijke implementatie zal daarom afhangen van de specifieke omstandigheden. Een goed getest BCP is essentieel om effectief te kunnen reageren op onverwachte gebeurtenissen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts