Bedrijfscontinuïteit: Hoe je je bedrijf bij calamiteiten door kan laten draaien

Een calamiteit wordt pas een echte ramp als je hier niet op bent voorbereid. Belangrijk is een ‘business continuity plan’ te maken. Zo’n stappenplan beschermt de continuïteit van de onderneming, het zorgt ervoor dat de belangrijkste bedrijfsprocessen in stand blijven. Bepaal welke producten en diensten je minimaal wilt blijven leveren, wat er ook gebeurt.

Dit zei Remco Geerts, manager advisory bij KPN Security, onlangs op een webinar van The Digital Dutch. Hij sprak daar over het behoud van ‘business continuity’, ook bij calamiteiten. De voortgang van de business mag niet worden belemmerd. Zonder angst te willen zaaien is één ding zeker: op een dag wordt ook jouw bedrijf aangevallen, dat is onafwendbaar. Uiteraard moet je daar uitgebreide veiligheidsmaatregelen tegen nemen, maar dat is nooit voldoende. Het is ook nodig een stappenplan te maken dat je bij een crisis uit de kast kunt trekken. Wees op het ergste voorbereid. Geerts: “Juist op zaken waarvan je niet verwacht dat ze ooit zullen gebeuren, moet je anticiperen. Een crisis heeft twee kanten. Het houdt een gevaar in, maar biedt ook kansen.” 

Voorbereiding is het halve werk

Het belang van een goede voorbereiding bleek wel bij de ransomware-aanval op het Lukas Krankenhaus is het Duitse Neuss. Aangezien elke nacht back-ups werden gemaakt, ging slechts weinig data verloren. Direct nadat het ziekenhuis doorkreeg dat het slachtoffer was geworden van hackers trad een crisisplan in werking. Over communicatie en andere belangrijke zaken was nagedacht. Telefoon en fax vervingen de mail, 80 procent van de operaties ging door. De meeste patiënten merkten niet eens welke ramp zich had voltrokken. Er werd geen losgeld betaald. 

Een voorbeeld van een onderneming die van een ramp een kans wist te maken is Maersk. Drie jaar geleden werd de containerschepen-rederij slachtoffer van een aanval met malware die bekend staat onder de naam ‘notPetya’. In 7 minuten tijd gingen 55.000 systemen en 12.000 bedrijfsapplicaties plat. 147 active directories raakten onbereikbaar. ‘s Werelds grootste containerbedrijf was terug in de Middeleeuwen, het hele concern kwam tot stilstand. Slechts één kopie van de active directory bleef behouden door een toevallige stroomstoring in Lagos, Nigeria. Hiermee kon het netwerk opnieuw worden opgebouwd. 

Moordend tempo

Het beheer van identiteiten en toegangsrechten was slecht geregeld, waardoor de ramp zich in een moordend tempo kon voltrekken. Ook aan de veiligheid mankeerde veel en bovendien was het netwerk niet gesegmenteerd. De schade liep op tot 300 miljoen euro. Maar de ‘winst’ is dat Maersk haar veiligheid nu veel beter heeft geregeld en op onheil is voorbereid. De crisis was aanleiding voor de IT- en business-organisatie  om eens goed alle bedrijfsprocessen in kaart te brengen. Gekeken werd wat de afhankelijkheid is van ICT. Dit mondde uit in een continuïteitsplan van de top 50 van meest cruciale bedrijfsapplicaties. 

Volgens Geerts weet je pas hoe afhankelijk je van iets bent zodra een systeem niet meer beschikbaar is. In augustus 2018 trok een schip de glasvezelkabel kapot die Schiermonnikoog met het vasteland verbond. Toen werd opeens duidelijk hoe lang een gemeenschap zonder telecommunicatie kan. Een probleem ook is dat de bevoorradingsketens steeds complexer worden. Dit komt door efficiency, digitalisering en mondialisering. In bedrijfsprocessen wordt steeds vaker gebruik gemaakt van derde partijen, die kunnen een cruciale rol spelen in je business. Dit bleek bijvoorbeeld bij de hack van DigiNotar in 2011. De vertrouwelijkheid van communicatie kon daardoor niet meer worden gegarandeerd.  

Stappenplan

Geerts raadt daarom met klem aan om te inventariseren welke partijen van vitaal belang zijn voor de business. KPN Security heeft daarvoor een acht-stappenplan opgesteld. De eerste, allerbelangrijkste stap is hiervoor een commitment van de directie te krijgen. Die moet het belang ervan inzien en middelen ter beschikking stellen. De tweede stap is een inschatting te maken van het risico. Bepaal welke bedreigingen een organisatie kunnen treffen. Daarbij is het zaak niet alleen ICT-dreigingen te inventariseren, maar ook gevaren die gebouwen en medewerkers lopen. Denk er daarbij aan om natuurgeweld, overstromingen, gaslekken, fraude en bijvoorbeeld stakingen in die assessment mee te nemen.  

Vervolgens is het tijd voor een Business Impact Analyse (BIA). Die maakt inzichtelijk wat je kan kwijtraken als er iets misgaat. De impact van verstoringen worden in kaart gebracht. Daarna bepaal je welke procedures en technische maatregelen nodig zijn om de risico’s te verlagen. Daarbij wordt vaak een kosten-batenanalyse gemaakt.  

Continuïteitsplan maken

De volgende stap is die maatregelen te implementeren en een continuïteitsplan te maken. Een crisis gaat altijd gepaard met chaos. De behoefte bestaat aan structuur. Stel daarom een crisisteam samen en bepaal de werkwijze. Ook moet de communicatie vooraf in een plan zijn geregeld. Verder dien je de acties te bepalen die medewerkers moeten nemen om hun werkzaamheden te kunnen voortzetten.  

Een ‘disaster recovery plan’ bepaalt hoe de ICT-organisatie zich kan herstellen. Dit plan is vooral technisch van aard en omvat bijvoorbeeld de back-up. Als laatste is een ‘incident response plan’ nodig dat beschrijft hoe om te gaan met incidenten, storingen, gegevensverlies en cybercriminaliteit. Daarna breekt de fase van testen en oefenen aan. Omdat bedrijven voortdurend in beweging zijn, moeten de plannen jaarlijks tegen het licht worden gehouden. Zo nodig zijn bijstellingen nodig. 

KPN leerde van ramp

KPN heeft zelf ook het nodige lesgeld betaald. In 2012 werd het bedrijf getroffen door een diepe crisis, toen een 17-jarige jongen toegang wist te krijgen tot het bedrijfsnetwerk en cruciale systemen. Gevolg was de aanstelling van een chief information security officer (CISO) en een hele organisatie daar omheen. Sindsdien is er veel aandacht voor het business continuity management (BCM). Vanuit het Security Operations Center (SOC) wordt dag en nacht alles in de gaten gehouden. Ethische hackers zijn voortdurend op zoek naar zwakke plekken, vertelt René Cornelisse die verantwoordelijk is voor de business continuity van KPN zelf. Een computer emergency response team (CERT) zit klaar om bij incidenten systemen zoveel mogelijk te isoleren. Met security is inmiddels zoveel ervaring opgedaan dat KPN die kennis graag wil delen.

Mede door de coronacrisis is er veel vraag naar business continuity managers en crisismanagers. Daarom is het vooral voor kleinere bedrijven lastig en duur de juiste mensen aan te trekken. Uitbesteding aan gespecialiseerde dienstverleners zoals KPN Security die ervaring hebben met stappenplannen en business continuity management, is dan een optie.

Gerelateerde artikelen