×
×

Dossier

Nieuws filtering op :

Business Continuity

Dossierdoor One magazine11/03/2015

Uiteraard heeft uw bedrijf te kampen met allerhande gevaren. Het komt er op aan om daar mee om te gaan. “Van onbewust risico lopen gaat het dan naar bewust risico nemen”, klinkt het. Wij bieden u een stappenplan.

In het vakjargon spreekt men vaak over de term ’business continuity’. Een dure term met eenvoudige invulling: zorgen dat de boel (zoveel mogelijk) blijft draaien. Een betrachting die van alle tijden is in het zakenleven, maar vandaag toch meer aandacht krijgt. Business continuity verwijst naar die activiteiten die dagelijks worden uitgevoerd om de dienstverlening, consistentie en veerkracht van uw organisatie zoveel mogelijk te kunnen garanderen. Dit is uiteraard gemakkelijker gezegd dan gedaan. Enkele stappen helpen u op weg. 

1 Leg de focus op het voorkomen van risico’s
Toen Leon Jorissen, IT Manager bij sanitairgroothandel Lambrechts, enkele jaren geleden het bedrijf binnenstapte om de hele IT-afdeling te herstructureren, vond hij de server, een AS/400 zoals die toen werd genoemd, samen met een kettingpapierprinter, tussen wat rommel in een klein lokaaltje. Het antwoord op zijn eerste vraag rond business continuity (“Wat als dit lokaal afbrandt?”), vertelde hem meteen hoeveel bewustmakingswerk hij nog voor de boeg had. Het antwoord was: “We zijn verzekerd!”.

Het begint allemaal met een goed begrip van wat business continuity eigenlijk is. Dat is eigenlijk het besef in een organisatie dat voorkomen beter is dan genezen. Dat kan evident lijken, maar deze kleine anekdote maakt duidelijk dat dit geen overbodige stap is. 

Overigens heeft men bij sanitairgroothandel Lambrechts een hele weg afgelegd. Jorissen: “We zijn nu volledig ontdubbeld met een server in ons hoofdkwartier en een remote server in een extern datacenter, die zo goed als constant worden ontdubbeld. We kunnen amper iets verliezen bij een eventuele uitval van de server.” De volledige investering over de eerste vier jaar in business continuity bedroeg tussen de 120.000 en 130.000 euro, inclusief hardware, software en externe diensten. “Maar iedereen weet nu goed wat er kan gebeuren als we die investering niet hadden gedaan: 54 personen in de afdeling logistiek die niet kunnen voortwerken. Met de huidige voorziening zijn de gegevens binnen de twee seconden gerepliceerd en kunnen we bij panne vrij snel terugvallen op een externe server.” 

Dit verhaal illustreert twee fundamentele eigenschappen van business continuity. Ten eerste: zonder een degelijke investering in de infrastructuur, zoals voor een extern datacenter, back-uplijn, noodstroom en airco indien men over een eigen datacenter beschikt, kan men geen werkend business continuity plan voorleggen. Ten tweede: het draait om het ongehinderd voortzetten van de activiteiten in alle omstandigheden, niet enkel om het draaiende houden van de infrastructuur. Business continuity betekent ook dat uw medewerkers op eender welke plaats vanaf eender welk toestel toegang krijgen tot de kantoortoepassingen (ontdek hoe op pagina 17).

2 Begrijp uw bedrijf
De meest elementaire manier om business continuity betaalbaar te houden, begint bij het juist inschatten van uw bedrijf en diens activiteiten en processen. Wie een eerlijk oordeel kan vellen over het belang van elk, kan al heel wat geld besparen. Wie echter alles als bedrijfskritisch beschouwt, zal navenant moeten investeren in de infrastructuur die nodig is om alles continu draaiende te houden, zelfs bij catastrofes. Toen een bedrijf als Koramic, producent van bouwmaterialen, zijn processen onder de loep nam, bleek vooral het productiesysteem zelf cruciaal, en niet zozeer de ondersteunende diensten. De eigenlijke uitdaging voor business continuity lag voor hen in de ovens om de stenen te bakken: alleen die moesten echt blijven draaien.

Bij het inschatten van bedrijfskritieke processen en activiteiten – in business continuity context wordt dit meestal de “business impact analysis” of kortweg BIA genoemd – houdt u best ook rekening met een aantal niet voor de hand liggende vragen: hoe bedrijfskritiek zijn uw medewerkers (veel meer in een dienstenbedrijf dan in een productiebedrijf), wat als de telefoonlijnen wegvallen, enzovoort.

Hier worden meestal ook de RTO’s en RPO’s vastgelegd. Een RTO is een “recovery time objective”, een aanduiding van hoe snel een toepassing of proces terug draaiende moet zijn om de impact op de bedrijfsvoering minimaal (idealiter helemaal geen impact) te houden. Een RPO is een “recovery point objective”. Hiermee geeft men aan hoeveel tijd er mag verstreken zijn tussen de laatste backup en het moment van de crisis.

3 Begrijp de risico’s
Deze stap volgt logisch uit de vorige: als u weet welke de meest bedrijfskritieke processen en activiteiten zijn, dan weet u ook welke risico’s u loopt bij het wegvallen ervan. “Van onbewust risico lopen gaat het dan naar bewust risico nemen”, stelt Alex Vanzegbroek van Beltug, de vereniging van Belgische ICT-gebruikers. Maar de oefening die in deze stap is vereist, is minder eenvoudig dan u op het eerste gezicht zou denken. Sommige processen zijn voor het voortbestaan van uw bedrijf zelf misschien minder cruciaal maar moeten wel zwaarder worden beschermd wegens wettelijke verplichtingen. Andere, schijnbaar minder belangrijke, processen kunnen ook het wegvallen van bedrijfskritieke processen veroorzaken waardoor het risico plots wel groot wordt.

U dient dus ook goed de verschillende verbanden tussen uw bedrijfsprocessen te begrijpen om de risico’s juist te kunnen inschatten. Vaak werken bedrijven met een soort van risicoschaal: hoe groot schat u dan het risico in op bijvoorbeeld de operationele impact of de impact op de bedrijfsreputatie. En daarnaast de kans dat het risico zich ook voordoet. Bedrijven in de buurt van Zaventem moeten bijvoorbeeld meer rekening houden met een vliegtuig dat neerstort op het gebouw dan bedrijven in de buurt van Namen.

4 Maak het business continuity plan
Zodra alle mogelijke risico’s zijn gedefinieerd, moet voor elk risico ook de passende reactie worden vastgelegd. Welke reactie passend is, hangt dus niet alleen af van de ernst van het risico maar ook van de waarschijnlijkheid dat zoiets ooit zal gebeuren. Bij een bedrijf wordt dan bijvoorbeeld de kans dat hun gebouw ooit wordt verwoest, bijzonder klein ingeschat, maar als het ooit zou gebeuren, creëert het wel meteen een crisis van het hoogste niveau. De kleine kans gecombineerd met de extreme impact zorgt ervoor dat dit risico als gemiddeld wordt ingeschat. Daarna pas kan de passende reactie worden vastgelegd. Dit alles resulteert in een uitgewerkt business continuity plan, dat een scenario voorziet voor elk mogelijk risico, voor elke afdeling en voor elk proces/activiteit. Hier worden ook de prioriteiten gerespecteerd die in de business impact analyse werden vastgelegd. Het gaat hierbij ook om de procedure hoe en aan wie een incident moet worden gerapporteerd, hoe het moet worden geëscaleerd en behandeld door een crisis management team, wie de crisis moet behandelen, hoe de communicatielijnen naar de crisismanager moeten verlopen, waar de medewerkers naartoe kunnen als hun gebouw onbeschikbaar is, enzovoort.

Interessante bedenking hierbij is dat de prioriteiten kunnen variëren naargelang het moment waarop een incident zich voordoet. Als bijvoorbeeld de software waarmee de lonen worden berekend in het begin van de maand uitvalt, is dat een kleinere prioriteit dan tegen het einde van de maand.

5 Documenteer en communiceer het plan
Nadat het business continuity plan is opgesteld, moet dit ook zichtbaar worden, door de nodige documenten te voorzien voor elke betrokken werknemer. Sommige bedrijven hanteren bijvoorbeeld een handboek voor crisisbeheer, dat in diverse vormen circuleert: een A3 vel voor elke manager dat steeds als het ware binnen handbereik moet liggen, een kopie van het handboek die extern wordt bewaard (u weet wel, voor als het gebouw volledig verwoest zou zijn), en kopieën van het handboek ergens op een muur op elke verdieping.

6 Test het business continuity plan
Als de handleidingen zijn verspreid en de infrastructuur is voorzien om voor elk mogelijk risico een aanvaardbaar herstelscenario in werking te laten treden, is de kous nog niet af. Nu komt de volgende cruciale stap in uw business continuity project: het testen. De testfase is de meest onderschatte/vaakst verwaarloosde/ meest betwiste fase in het volledige business continuity traject. Nochtans kan een test bijzonder waardevolle informatie opleveren, soms zelfs waar men het niet verwacht. “Testen leveren interessante informatie op. Want er gebeurt altijd wel iets onverwacht”, weet Alex Vanzegbroek. 

Testen zijn vooral ook belangrijk om de haalbaarheid van een business continuity plan na te gaan, want zo’n plan wordt meestal opgesteld door een team van twee à drie mensen, en houdt daarom niet altijd rekening met alle praktische omstandigheden die de uitvoering van dit plan kunnen hinderen.

Zo blijkt dan soms dat een zogenaamde restore, het terug ophalen van opgeslagen data, veel meer tijd vergde dan vooraf ingepland. Vaak valt het testen van de noodzakelijke hardware en het overschakelen naar het backup systeem wel mee, maar loopt het fout bij het testen van de procedures die moeten worden gevolgd bij het optreden van een incident.

7 Begin van voren af aan
Op geregelde tijdstippen, en zeker bij elke ingrijpende wijziging binnen het bedrijf, moet opnieuw een business impact analyse worden gemaakt, en de nodige aanpassingen aan het business continuity plan worden aangebracht.

Bij een bedrijf als Ontex, dat oplossingen voor persoonlijke hygiëne produceert, komt het business continuity steering committee om de zoveel weken samen (of sneller, wanneer de situatie dit vereist) om te zien of er aanpassingen nodig zijn aan de plannen of aan de infrastructuur. “Nochtans zijn wij ook begonnen als klein bedrijfje met één enkel gebouw in Buggenhout,” merkt Patrick Pittoors, ICT manager van Ontex, op.

Ontex is een goed voorbeeld voor groot en klein. Want het belang van business continuity is bij hen geleidelijk gegroeid. “Niet alleen door de eerste downtime, maar ook door de groei van het bedrijf”, stelt Pittoors. “Waardoor ook de gevolgen van downtime voor het bedrijf steeds ingrijpender worden.”

Hou uw bedrijf draaiende: enkele vaktermen 

1 Wat is het verschil tussen business continuity en disaster recovery?
Terwijl bij ‘disaster recovery’ de vraag centraal staat hoe men zo snel mogelijk de infrastructuur weer overeind krijgt na een catastrofe, is bij ‘business continuity’ de centrale vraag: hoe houd ik mijn bedrijf draaiende, zelfs in tijden van catastrofes?

2 Wat is het verschil tussen back-up en storage?
Back-up en storage worden vaak als synoniemen van elkaar gebruikt, terwijl er toch een duidelijk onderscheid is. Een back-up is een reservekopie van een bestand, programma, harde schijf of zelfs volledig systeem, gemaakt om op terug te vallen wanneer de oorspronkelijke bestanden het hebben begeven of verloren zijn geraakt. Storage is de verzamelnaam voor dat gedeelte van de ICT-infrastructuur waarin data zijn opgeslagen, dus zowel de originele bestanden als de back-ups.

One

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 


Geef je mening over dit news

Wil je je mening delen of een commentaar posten?

Log je in via facebook.