Telenet.be
 
 
 

Overzicht winkelmandje

{{monthlyTitle}}

{{oneTimeTitle}}

Bestelling afwerken

 
 
 
 

BusinessBytes

Hoe blijft uw bedrijf draaien, ook na een ramp?

 
 

Wat als uw bedrijf morgen met een ramp te maken krijgt, waardoor het niet meer behoorlijk kan werken? Bent u dan in staat de negatieve impact te beperken en te beheersen? Kunt u de reputatie van uw bedrijf adequaat beschermen?

 

"Als er iets misgaat moet je de operationele impact ervan kunnen beperken en de reputatie van je bedrijf beschermen. Impactbeheersing en reputatiebescherming zijn de twee belangrijkste pijlers van Business Continuity Management (BCM), zegt Chris De Blende", Senior Manager bij PwC.

 

"Ernstige verstoringen komen niet altijd van grote calamiteiten die een bedrijf rechtstreeks treffen", zegt De Blende. "Het kan bijvoorbeeld tot een ontruiming van uw bedrijf komen omdat elders op uw industrieterrein of in uw directe omgeving een ontploffing heeft plaatsgevonden."

 

De Blende verwijst naar het Horizon Scan Report van het Business Continuity Institute (BCI) dat de gevaren die bedrijven ervaren in kaart brengt. Volgens het BCI zien bedrijven ongeplande IT- en telecomonderbrekingen als de grootste bedreiging. Op de tweede plaats staat data-inbreuk. Ook cyberaanvallen en de invloed van sociale media op de reputatie van het bedrijf worden als grote bedreigingen ervaren. De lijst is lang en omvat verder onder meer verstoringen van de leveringsketen, gure weersomstandigheden en civiele onrusten.

IT in BCM

Twee IT-trends die sinds enkele laatste jaren van invloed zijn op BCM, zijn BYOD (Bring Your Own Device) en cloudtoepassingen. "Governance blijft ook bij BYOD en de cloud belangrijk. De aansprakelijkheid blijft bij het eigen bedrijf liggen", beklemtoont De Blende. "Sluit een waterdichte overeenkomst af met je cloudprovider (SLA) en ken de precieze locatie van al je kritieke data. Vraag, indien mogelijk, om bij je provider een audit of assessment uit te voeren. Als bedrijfsgegevens van zeer vertrouwelijke aard zijn, kan ik me voorstellen dat het management ervan verzekerd wil zijn dat ze niet door de overheid of niet-geautoriseerde instanties kan 'bekeken' worden."

 

"Het bepalen en afbakenen van rollen en verantwoordelijkheden wordt door die trends eigenlijk nog belangrijker", zegt De Blende. "Het management dient nog meer aandacht te schenken aan onzichtbare onafhankelijkheden en ownerships van alle assets. Daarnaast mag je de culturele veranderingen die de trends met zich meebrengen niet onderschatten. En ten slotte: maak niet de fout te denken dat incident handling, monitoring, patch management en andere processen ineens niet meer belangrijk zijn. Die blijven even belangrijk, zoniet nog belangrijker."

IT als innovation enabler

Voor het voortbestaan van een bedrijf op langere termijn is innovatie van belang, en IT wordt in dat verband steeds vaker als een belangrijke enabler gezien. Chris De Blende somt een aantal vragen voor IT en BCM op die daaruit voortvloeien, zoals:

  • Kan uw IT-afdeling snel genoeg reageren op vragen van het bedrijf?
  • Hoe snel kan IT een oplossing implementeren?
  • Wat zijn de risico’s bij het invoeren van nieuwe oplossingen?
  • Wat zijn de risico’s als een oplossing faalt?
  • Hoe kan je de schade in zo’n geval beperken?
  • Wat zijn de gevolgen als een oplossing voor één afdeling in andere afdelingen uitgerold wordt?
  • Wie draagt welke verantwoordelijkheid?

"Impactbeheersing en reputatiebescherming zijn de twee belangrijkste pijlers van Business Continuity Management."

Chris De Blende

Holistische benadering

Chris De Blende erkent dat IT in BCM een belangrijke rol speelt, maar hij pleit tegelijk voor een bredere, holistische benadering rond een vijftal pijlers.

 

  1. BCM als proces
    BCM kan niet gebaseerd zijn op een éénmalige analyse en een plan dat in de kast ligt. Beschouw BCM als een proces. Maak een langetermijnanalyse. Doe aan trending en stel een programma op. Zorg dat het topmanagement van je bedrijf er achter staat.
  2. Risico's en impact
    Breng alle risico's in kaart en alle processen die door een incident getroffen kunnen worden. Maak een lijst van alle kritische processen die na een incident zo snel mogelijk weer opgestart moeten worden. Probeer bij problemen niet alles in één keer op te lossen, maar stel prioriteiten. Ga na hoe je als bedrijf de geïdentificeerde risico’s wilt aanpakken: verminderen, transfereren (bijvoorbeeld ze onder te brengen bij een verzekeraar) of trachten te voorkomen? Elk bedrijf heeft een andere risk appetite of 'risicocomfortzone' en dient zelf te bepalen welke verliezen acceptabel zijn. Het ene aanvaardt al gemakkelijker risico's dan het andere.
  3. Strategische visie
    Beschrijf de manier waarop processen weer opgestart moeten worden, en wat dan de duurtijd van de opstart is. Kan je bijvoorbeeld door een IT-incident gedurende een bepaalde periode maar een beperkt aantal diensten aanbieden, hoe lang duurt het dan vooraleer je weer 100% actief bent? Chris De Blende stipt aan dat oplossingen wel kostenefficiënt moeten blijven: "Zoek het niet te ver. Je hoeft misschien niet alle medewerkers naar een andere omgeving of een ander gebouw te verplaatsen als teleworking ook kan helpen. Let bij teleworking wel op aspecten als capaciteit, cultuur en beveiliging."
  4. BC-plannen
    Beschrijf nauwkeurig de procedures bij ernstige incidenten die een langdurige onderbreking van de kritieke processen zouden kunnen veroorzaken, waardoor het BC-plan dient geactiveerd te worden. Zorg dat alle betrokkenen hun rol en verantwoordelijkheden kennen en getraind zijn om ze op te nemen. Dat zal het herstel na een ramp aanzienlijk sneller doen verlopen. Weet wie de belanghebbenden zijn met wie gecommuniceerd moet worden. Zorg dat er één actueel masterplan bestaat.
  5. Testen
    BCM-plannen moeten getest worden en dan bijgesteld worden waar nodig. Het is niet voldoende om één keer per jaar een test te doen. Organiseer permanente monitoring van het BCM-proces.

Maturiteit en normering

BCM vraagt tijd en energie. "Het op punt stellen van een mature BC-capaciteit heeft dikwijls een doorlooptijd van een drietal jaar", zegt Chris De Blende. "Begin klein en pak eerst de meest kritische processen aan. Weet wat de missie van je bedrijf is, en wat de gevolgen zijn als je onbereikbaar of onbeschikbaar bent. Dat moet het uitgangspunt zijn."

 

Sinds midden vorig jaar kunnen bedrijven de norm ISO 22301 voor BCM volgen. Deze vervangt de BS 25999 als voornaamste standaard voor Business Continuity Management. ISO 22301 benadrukt onder meer het stellen van doelen, het meten van prestaties en KPIs, en acties die risico’s en kansen sneller zichtbaar maken. De norm voor IT in BCM is ISO/IEC 27031.

 
 

Chris De Blende

Chris De Blende is Senior Manager bij PwC, een van de 'big four' in consultancy. PwC levert sectorgerichte diensten op het vlak van audit, fiscaliteit en adviesverlening voor klanten in zowel de publieke als de privésector, in België en internationaal. PwC is vertrouwd met de financiële aspecten, risicobeheer en compliance, IT-systemen en de operationele werking van bedrijven. Daarmee helpt PwC haar cliënten kostenbesparingen te bedenken en te realiseren, risico’s te onderkennen en te beheren en aspecten zoals beheer, controle en kwaliteit te verbeteren. Business Continuity Management is aldus ook een domein waarin PwC actief is. Binnen het Belgisch BCM-team van PwC kan men ook prat gaan op de titel ‘BC Consultant of the Year Award’ voor 2012, uitgereikt door het BCI.

 
 

Bekijk ook

  • Hoe gaat úw bedrijf om met thuiswerken?

    Vragen zoals deze beantwoordt u met een bedrijfsbeleid rond het gebruik van smartphone, tablet, BYOD en pc...

    lees meer
  • Mobiel 21

    “Het Mobile Employee Plan is gemakkelijk en brengt weinig administratie met zich mee.”

    lees meer
  • De trends in vaste bedrijfstelefonie

    Door de digitalisering van vaste telefonie is kwaliteitswinst geboekt...

    lees meer