Een business continuity plan opstellen

Het is, mede door de coronacrisis, een hot topic: bedrijfscontinuïteit. Centraal daarin staat het in stand houden dan wel snel hervatten van bedrijfsprocessen bij grote verstoringen. Een business continuity plan (BCP) is daarbij essentieel. Grote calamiteiten zoals een cyberaanval (met name ransomware) of brand kunnen een gevaar vormen voor het voortbestaan van je bedrijf. Een bedrijfscontinuïtsplan beperkt de impact van incidenten zo veel mogelijk. 

Wat is een business continuity plan?

Een business continuity plan is een document dat beschrijft welke procedures en instructies je bedrijf moet volgen om te kunnen blijven opereren tijdens een ongeplande onderbreking van je dienstverlening. Het is uitgebreider dan een disaster recovery plan en gaat in op onvoorziene gebeurtenissen voor bedrijfsprocessen, activa, personeelszaken en leveranciers en partners. 

Vooropgesteld: het is van groot belang om preventieve veiligheidsmaatregelen te nemen. Daarbovenop moet je echter óók je business continuity management op orde hebben, aangezien de kans zeer wel aanwezig is dat je bedrijf vroeg of laat wordt getroffen door rampspoed. De belangrijkste deviezen daarbij: besef dat iedere calamiteit even uniek als onvoorspelbaar is en wees voorbereid op het ergste. Een zorgvuldig opgesteld en getest bedrijfscontinuïteitsplan zorgt ervoor dat je ongehavend – of met slechts wat kleerscheuren – verder kunt gaan. Hiervoor heb je uiteraard commitment vanuit de leiding van het bedrijf nodig. De mensen die in charge zijn moeten het belang van een BCP inzien én bereid zijn om hiervoor voldoende middelen ter beschikking te stellen.

Hierna zijn de volgende zeven stappen vereist.

Stap 1: grondige risicoanalyse

Vervolgens zoek je uit welke bedreigingen je bedrijf kunnen treffen en bekijk je wie of wat er wordt geraakt door deze risico’s. Op basis van deze grondige risicoanalyse bepaal je welke aspecten allemaal aan bod moeten komen in het business continuity plan.

Bij de assessments neem je niet alleen ICT-dreigingen mee, maar ook risico’s voor gebouwen en medewerkers. Denk aan natuurrampen, gaslekken, fraudegevallen en stakingen. De risicoanalyse helpt je om de inhoud, prioriteiten en omvang van je BCP te definiëren.

Stap 2: business impact analyse

Nu je de risico’s kent, moet je uitzoeken wat de impact is van verstoringen. Welke schade ontstaat er als er iets misgaat? Deze zogeheten business impact analyse (BIA) helpt je om te achterhalen welke processen het belangrijkst en kwetsbaarst zijn én wat er gebeurt als ze een dag, een paar dagen of een week uitvallen.

Met de BIA als uitgangspunt kun je nu de vraag stellen welke procedures en technische maatregelen nodig zijn om risico’s te verminderen. Daarbij wordt vaak een kosten-batenanalyse gemaakt. 

Stap 3: business continuïteitsplan opstellen

Je hebt nu voldoende voorbereidend werk gedaan om het business continuïteitsplan te kunnen opstellen. Leg de risicoanalyse en business impact-analyse naast elkaar om een gedegen en uitvoerbaar BCP te maken. Maak specifieke plannen voor alle afdelingen en locaties en leg vast welke acties medewerkers moeten ondernemen om hun werkzaamheden voort te zetten. Een belangrijk onderdeel van het BCP is een checklist die toeziet op onder meer voorraden, apparaten en (de locatie van) databack-ups. Bepaal daarnaast wie er in het crisisteam zitten, hoe en waar het BCP beschikbaar wordt gesteld en wie er allemaal over moeten beschikken. In een contactlijst neem je op hoe belangrijke medewerkers en hulpverleners zijn te bereiken.

Chaos is inherent aan een calamiteit; een duidelijk communicatieplan voorkomt dat de boel verder in het honderd loopt. Door de interne en externe communicatie vooraf te definiëren kun je de crisis snel en effectief managen en weten medewerkers, klanten en leveranciers wat er speelt, welke impact dit voor hen heeft en wanneer je verwacht dat alles weer back to normal is. 

Stap 4: disaster recovery plan

Vaak wordt gedacht dat een disaster recovery plan hetzelfde is als een BCP. Disaster recovery focust echter vooral op het herstellen van de IT-processen, terwijl het BCP toeziet op de gehele continuïteit van de organisatie.

Het disaster recovery plan is dus vooral technisch van aard en beschrijft onder andere strategieën rondom verstoringen van netwerken, servers, pc’s en mobiele apparaten.

Stap 5: incident response plan

Hoe ga je om met storingen, gegevensverlies, cybercriminaliteit en datalekken en wat doe je om de gevolgen te beheersen? Dat neem je op in je incident response plan.

Door verschillende soorten incidenten te definiëren en te beschrijven welk proces je volgt als een incident zich voordoet, beperk je de hersteltijd en de herstelkosten tot een minimum. Een incident response plan beschrijft dus de procedures en de taakverdeling bij een incident.

Stap 6: Oefenen en testen

Het oefenen en testen van de plannen en daarbij de maatregelen die genomen zijn, is belangrijk. Hierdoor raken de betrokken medewerkers bekend met de herstelprocedures en worden de geïmplementeerde maagregelen goed getest, zodat duidelijk is of ze voldoen aan de gestelde eisen. Door het regelmatig oefenen en testen zal het herstelproces sneller verlopen als er zich daadwerkelijk een calamiteit voordoet. Indien nodig zullen plannen aangepast worden naar aanleiding van de resultaten van de oefening/test.

Stap 7: Onderhouden

Het business continuity proces is een proces dat onderhouden dient te worden. Risico’s en impact kunnen veranderen, waardoor ook maatregelen en/of plannen aangepast moeten worden. Onderhoud van het BCM-proces dient minimaal 1 keer per jaar plaats te vinden, maar moet ook gebeuren als er grote wijzigingen zijn in uw processen.