Business continuity management

Een storing vindt altijd plaats op een onverwacht moment en, zoals de Wet van Murphy ons leert, vaak op het meest ongewenste moment. Dit geldt ook voor ICT. Het is daarom goed ook voor ICT een risico analyse op te (laten) stellen en zich af te vragen wat er zou kunnen gebeuren als deze risico’s werkelijkheid worden. Daarop kan men zich dan voorbereiden. Niet alleen preventieve maatregelen, maar ook disaster recovery plannen en business continuity plannen kunnen en moeten daar een rol bij spelen.

Iedere ondernemer en manager maakt zich druk over de continuïteit van de werkprocessen. Als die ongestoord door kunnen gaan, kan er immers geld worden verdiend. Toch zijn er heel wat, met name MKB ondernemers, die een beperkt inzicht hebben in welke factoren daar een rol bij spelen en welke rol die factoren precies hebben. Sommige factoren kunnen bij gebrekkige aanwezigheid hinderlijk zijn, andere een ramp. Een voorbeeld kan een e-mailserver zijn. Als daar de hardware van kapot gaat, dan heeft men niets aan een back-up. Er zal ook nieuwe hardware moeten komen. Als het leveren van een server tien dagen duurt, en het terugzetten van de back-up een dag, dan is men dus na ongeveer twee weken weer aan het e-mailen. Geen prettig vooruitzicht!

Hoewel het natuurlijk een goede zaak is dat men zich vanuit het management richt op wat wel disaster recovery management (DRM) wordt genoemd, is het dus minstens zo belangrijk als manager de aandacht te vestigen op business continuity management (BCM).

Bij DRM speelt de vraag hoe men zo snel mogelijk na een storing weer ‘up-and-running’ als voor de storing kan zijn. Daarvoor zijn dan procedures vastgelegd zoals het regelmatig maken van back-ups. Wie, zoals Panthera, vaak geconfronteerd wordt met de diverse DRM procedures van bedrijven, zal zijn opgevallen dat men zich daarbij meestal richt op het herstellen van de huidige situatie. Er is vaak wat minder oog voor de continuïteit van de processen. Bijvoorbeeld de zorg zo snel mogelijk bepaalde werkzaamheden, desnoods via een omweg, te laten voortgaan, om zich daarna pas te richten op het herstel van de oude situatie.

In onze opinie zou DRM dus als een onderdeel van BCM beschouwd moeten worden. Een calamiteitenplan moet niet alleen moeten beschrijven hoe, bij een probleem, de oude situatie weer zoveel mogelijk hersteld wordt. Het zou ook moeten beschrijven wat intussen gedaan moet worden om de continuïteit van de bedrijfsvoering zoveel mogelijk te kunnen garanderen.

Onze ervaring is dat MKB ondernemers en managers meestal heel goed weten welke zaken het meest bepalend zijn voor de continuïteit van hun organisatie, maar dat ze door hun ITers vooral geraadpleegd worden over het maken van back-ups en de frequentie daarvan. Een ITer die zichzelf beschouwt als facilitair voor de werkprocessen wil echter meer weten. Wat doen jullie precies en wat gebeurt er als dat niet meer kan? Wat gebruik je er voor om dat te doen wat je moet doen en kan dat ook op een andere manier? Wat gebeurt er dan? Waarom kies je dit? De antwoorden op dergelijke vragen stelt de ITer in staat om de ondernemer en manager echt te kunnen ondersteunen. Hij wordt niet alleen sparringspartner tijdens de keuze wat nodig en handig is, hij weet waar hij de prioriteiten moet leggen bij eventuele problemen en de preventie van deze problemen.

Fietsen we toevallig langs een plek waar net een verkeersongeluk heeft plaatsgevonden, dan weten we allemaal dat we ons eerst moeten richten op de belangrijkste dingen. Lopen mensen nog meer gevaar door te blijven liggen waar ze liggen? Is er iemand waarvan de primaire levensfuncties in gevaar zijn? Is er al naar 112 gebeld? Hetzelfde geldt voor ICT. Als we niets doen, gaat er dan nog meer kapot? Wat moeten we als eerste zien te herstellen? Kunnen we een bypass maken zodat de belangrijkste processen, al is het maar gedeeltelijk, weer voortgang kunnen vinden? Juist om die vragen te kunnen beantwoorden moet je als ITer goed weten wat belangrijk voor de organisatie is en dus verder kunnen kijken dan naar het terugzetten van back-ups alleen.

Een ander, vaak onderbelicht item bij BCM is de communicatie. Wie zijn de belanghebbenden? Wanneer en hoe moeten deze op de hoogte worden gebracht en gehouden? Het is voor een ITer logisch dat je, als je bezig bent een probleem op te lossen, niet zit te springen om gebruikers te woord te staan. Je wilt je focus richten op het probleem. Het echte probleem is echter niet technisch, het echte probleem is dat het werkproces geen voortgang kan vinden. Wie dat begrijpt is een echte alround ITer en ziet het grote belang van een goede communicatielijn met de gebruikers zeer zeker in.

Vanzelfsprekend is de invulling van BCM voor een bedrijf met 5000 medewerkers anders dan voor een mkb’er met 5 medewerkers. Voor beide organisaties is een BCM echter belangrijk. Om een start te maken met een gedegen BCM, raden wij mkb’ers aan eerst te kijken naar die plekken in de organisatie waar productie wordt gedraaid en waar klantcontact plaatsvindt. Al snel komt men dan tot de conclusie dat het erger voor de continuïteit is dat de mailserver een dag niet werkt dan dat het boekhoudprogramma het een week niet doet. Dit zou men ook een businessimpactanalyse kunnen noemen.

Is BCM iets voor de ondernemer? Ja en nee. Ja, want hij weet het beste wat belangrijk is voor zijn organisatie, maar ook nee, want storingen komen voor op alle momenten van de dag en op dat moment kan ook een systeembeheerder van een ingehuurd bedrijf met een lagere beslissingsbevoegdheid ‘de hoogste in rang’ zijn geworden. Het is daarom van belang de prioriteiten met iedereen te delen. De praktijk loopt immers toch altijd anders en de oplossing moet komen van mensen die de juiste beslissingen nemen, wie dat ook is.