Waarom en hoe moet een Business Continuity Plan worden opgesteld?
Tegen een gespannen geopolitieke achtergrond neemt het aantal cyberaanvallen op de kritieke infrastructuren van Europese staten voortdurend toe. Bovendien zijn computeraanvallen de belangrijkste oorzaak van bedrijfsstilstand.
Gezien dit hoge niveau van cyberdreiging moeten organisaties hun operationele veerkracht versterken door een Business Continuity Management System (BCMS) in te voeren. Dit omvat een Business Continuity Plan (BCP), dat een essentiële rol speelt bij het waarborgen van de continuïteit van de operaties in geval van een incident. Quentin Mouzard, consultant bedrijfscontinuïteit en informatiebeveiliging bij Thales, onthult de beste praktijken voor het ontwerpen van een effectief Business Continuity Plan.
Veerkracht (of "resilience"), een strategische uitdaging
Operationele veerkracht is het vermogen van een organisatie om haar activiteiten snel te hervatten na een incident dat haar operaties heeft onderbroken. Om veerkrachtiger te worden, moeten bedrijven een holistische benadering aannemen: “Cyberaanvallen, zoals ransomware of DDoS-aanvallen, kunnen de bedrijfsvoering van een organisatie volledig stilleggen, maar dat geldt ook voor rampen zoals brand of overstroming, of zelfs een pandemie. Een bedrijfscontinuïteitsplan moet met al deze scenario’s rekening houden,” legt Quentin Mouzard uit.
Een bedrijfsstilstand kan ernstige gevolgen hebben. Een openbaar ziekenhuis in het zuiden van de regio Île-de-France, bijvoorbeeld, was in 2022 drie maanden volledig verlamd door een cyberaanval en zal naar verwachting pas in september 2024 terugkeren naar de toestand van voor de crisis.
Zich bewust van deze uitdaging, definiëren regelgevers nieuwe regelgevende kaders om organisaties aan te moedigen hun veerkracht te versterken.
In de financiële sector legt de DORA-verordening nieuwe eisen op met betrekking tot veerkracht tegen risico’s in verband met Informatie- en Communicatietechnologieën (ICT). Voor andere bedrijfssectoren stelt de NIS2-richtlijn een reeks maatregelen vast die moeten worden aangenomen op het gebied van cyberbeveiliging en operationele veerkracht.
Hoe stel je een Business Continuity Plan op?
Bij Thales gebruiken we een zes-stappenbenadering die iteratief, pragmatisch en flexibel is om je te helpen het meest efficiënte Business Continuity Plan mogelijk te ontwikkelen.
- Analyseer de interne en externe context van het bedrijf:
De eerste stap is het identificeren van de activiteiten die essentieel zijn voor je organisatie.
Deze fase omvat een top-down benadering: het managementteam geeft zijn visie op de activiteiten die het als vitaal beschouwt. Op basis hiervan is het mogelijk om de reikwijdte en het detailniveau van de analyses te bepalen om Business Continuity Plan te ontwikkelen.
Het omvat ook een bottom-up benadering: het doel is om tijdens analyseworkshops dichter bij het veld te komen en relevante informatie te rapporteren die tijdens de analysefasen is geïdentificeerd. Sommige medewerkers hebben soms onderbrekingen ervaren, zoals applicaties die stoppen met werken. Ze hebben al informele oplossingen geïmplementeerd. Deze informatie is van onschatbare waarde en het betrekken van de teams zal het voor hen gemakkelijker maken om zich aan de Business Continuity Plan te houden. Medewerkers zullen in de frontlinie staan bij het implementeren van plannen in crisissituaties.
- Analyseer de bedrijfsimpact:
Het is belangrijk om continuïteitsindicatoren voor elke activiteit te definiëren om prioriteiten te stellen voor het herstel van activiteiten in geval van een ramp. Onder de op te nemen indicatoren zijn de hersteltijddoelstelling en het minimale serviceniveau dat binnen deze termijn moet worden geleverd.
Voor elke op deze manier geïdentificeerde kritieke activiteit moeten we ook de middelen identificeren die essentieel zijn voor een soepele werking: essentiële leveranciersdiensten, sleutelmedewerkers, IT-middelen, werkstations, enz.
- Risicoanalyse:
Het doel van deze derde fase is om de meest waarschijnlijke dreigings- en incidentscenario’s te identificeren, zodat we ze effectiever kunnen anticiperen.
Dit stelt prioriteiten vast voor de oprichting van continuïteitsstrategieën en bedrijfscontinuïteitsplannen die in de volgende stappen worden gedetailleerd.
- Definiëren van Business Continuity strategieën:
Hier is het doel om de vraag te beantwoorden: “Hoe reageer ik als mijn kritieke middelen niet beschikbaar zijn?”
“In de huidige context richt dit gedeelte zich sterk op cyberrisico’s. Digitalisering vergroot het aanvalsoppervlak voor bedrijven, net als de wijdverspreide adoptie van telewerken. Een cyberaanval is daarom vaak het eerste scenario dat wordt behandeld,” legt Quentin Mouzard uit.
Er kunnen verschillende oplossingen worden aangenomen: het gebruik van fysieke media en handgeschreven notities in geval van een IT-aanval, telewerken als de gebouwen niet beschikbaar zijn, en wederzijdse overeenkomsten met andere leveranciers om middelen te lenen in geval van een probleem.
Deze oplossingen moeten echter worden geanalyseerd vanuit een kosten/batenperspectief.
Na bedrijfsimpact- en risicoanalyses worden de meest waarschijnlijke dreigingsscenario’s en bijbehorende kwetsbaarheden geïdentificeerd. De selectie van strategieën is een balans tussen de kosten van implementatie en de voordelen van uitvoering.
Bijvoorbeeld, als een IT-infrastructuur wordt gehost in een of meer datacenters die door een bedrijf worden beheerd om zijn kritieke operaties te beheren, is het de moeite waard om de kosten en implicaties van migratie naar een cloudprovider te overwegen versus het implementeren van lokale back-up- en redundantieoplossingen, gecombineerd met verlaagde bedrijfsprocedures.
Deze beoordeling moet rekening houden met de waarschijnlijkheid van serveruitval, cyberbeveiligingsdreigingen en de potentiële kosten die gepaard gaan met bedrijfsonderbreking na een IT-ramp.
“Bovendien moet rekening worden gehouden met het risico van concentratie van IT-middelen bij externe dienstverleners, vooral in de huidige context van supply chain-aanvallen,” benadrukt Quentin Mouzard.
- Definiëren van Business Continuity Plan:
Dit omvat het implementeren van de continuïteitsstrategieën die in de vorige fase zijn gedefinieerd.
Het BCP moet worden aangepast aan de operationele specificiteiten van de verschillende afdelingen. Om dit te doen, identificeert het de sub-scenario’s die specifiek zijn voor elk en stelt het de meest geschikte continuïteitsplannen op.
Het Business Continuity Plan beschrijft alle procedures en concrete acties die moeten worden ondernomen in geval van een noodsituatie, met plannen voor soepele en effectieve communicatie. Het legt vervolgens de stappen uit die moeten worden genomen om de operaties in “verlaagde” modus te herstellen, in overeenstemming met de bedrijfscontinuïteitsdoelstellingen die in stap twee zijn gedefinieerd. Tegelijkertijd bevat het richtlijnen voor het herstellen van de beschikbaarheid van getroffen kritieke middelen. Op het gebied van IT omvat een BCP vaak een rampenherstelplan, waarin het actieplan wordt beschreven voor het herstellen van de meest kritieke IT-systemen en het mogelijk maken van gebruikers om weer normaal te werken.
Noodprocedures kunnen aan medewerkers worden verspreid om het gemakkelijker te maken plannen uit te voeren, verwarring te voorkomen en de reactietijd van teams te verbeteren. Documentatie van het bedrijfscontinuïteitsplan moet toegankelijk zijn, ongeacht het type incident.
- Het uitvoeren van rollenspeloefeningen
Het is belangrijk om de effectiviteit van continuïteitsplannen en hun eigenaarschap door medewerkers te testen via oefenprogramma’s. Door iteratie stellen deze tests ons in staat om verbeterpunten en mogelijke afwijkingen te identificeren die moeten worden gecorrigeerd om ervoor te zorgen dat bedrijfscontinuïteitsplannen zo effectief mogelijk zijn in geval van een onderbreking.
De voordelen van een Business Continuity Plan
Het implementeren van een bedrijfscontinuïteitsplan biedt een aantal voordelen voor organisaties:
- Schadebeperking: het BCP stelt bedrijven in staat om veel sneller te worden hersteld, wat zowel de financiële kosten van de onderbreking als de schade aan de merkreputatie door de stilstand vermindert.
- Een concurrentievoordeel: “Het tonen van veerkracht is een echt voordeel, zozeer zelfs dat sommige bedrijven zich laten certificeren volgens de norm: ISO/IEC 22301. Dit stelt hen in staat om marktaandeel te winnen, met name door het vertrouwen te winnen van Angelsaksische klanten die een bedrijfscontinuïteitscultuur hebben en op zoek zijn naar veerkrachtige bedrijven. Het tonen van veerkracht is ook een troef voor bedrijven die inschrijven op aanbestedingen,” merkt Quentin Mouzard op.
- Strategische besluitvorming vergemakkelijkt: de audit die wordt uitgevoerd als onderdeel van het bedrijfscontinuïteitsplan kan worden gebruikt om strategische beslissingen te nemen. Sommige bedrijven gebruiken bijvoorbeeld risicoanalyse om over te stappen van on-premises servers naar een cloudinfrastructuur, of om IT-tools met vergelijkbare functies te rationaliseren.
Business Continuity Planning is cruciaal om de continuïteit van organisaties te waarborgen bij grote incidenten die hun activiteiten gedurende een lange periode kunnen onderbreken. Door een rigoureuze en pragmatische methodologie te volgen, kan je organisatie verstoringen minimaliseren, haar reputatie beschermen en een concurrentievoordeel behalen. Wil je je operationele veerkracht versterken? Onze experts kunnen je helpen bij het opstellen van je bedrijfscontinuïteitsplan!