Bedrijfscontinuïteit: Hoe je je bedrijf bij calamiteiten door kan laten draaien

Dit zei Remco Geerts, manager advisory bij KPN Security, onlangs op een webinar van The Digital Dutch. Hij sprak daar over het behoud van ‘
Voorbereiding is het halve werk
Het belang van een goede voorbereiding bleek wel bij de
Een voorbeeld van een onderneming die van een ramp een kans wist te maken is Maersk. Drie jaar geleden werd de containerschepen-rederij slachtoffer van een aanval met malware die bekend staat onder de naam ‘notPetya’. In 7 minuten tijd gingen 55.000 systemen en 12.000 bedrijfsapplicaties plat. 147 active directories raakten onbereikbaar. ‘s Werelds grootste containerbedrijf was terug in de Middeleeuwen, het hele concern kwam tot stilstand. Slechts één kopie van de active directory bleef behouden door een toevallige stroomstoring in Lagos, Nigeria. Hiermee kon het netwerk opnieuw worden opgebouwd.
Moordend tempo
Het
Volgens Geerts weet je pas hoe afhankelijk je van iets bent zodra een systeem niet meer beschikbaar is. In augustus 2018 trok een schip de glasvezelkabel kapot die Schiermonnikoog met het vasteland verbond. Toen werd opeens duidelijk hoe lang een gemeenschap zonder telecommunicatie kan. Een probleem ook is dat de bevoorradingsketens steeds complexer worden. Dit komt door efficiency, digitalisering en mondialisering. In bedrijfsprocessen wordt steeds vaker gebruik gemaakt van derde partijen, die kunnen een cruciale rol spelen in je business. Dit bleek bijvoorbeeld bij de hack van DigiNotar in 2011. De vertrouwelijkheid van communicatie kon daardoor niet meer worden gegarandeerd.
Stappenplan
Geerts raadt daarom met klem aan om te inventariseren
Vervolgens is het tijd voor een Business Impact Analyse (BIA). Die maakt inzichtelijk wat je kan kwijtraken als er iets misgaat. De impact van verstoringen worden in kaart gebracht. Daarna bepaal je welke procedures en technische maatregelen nodig zijn om de risico’s te verlagen. Daarbij wordt vaak een kosten-batenanalyse gemaakt.
Continuïteitsplan maken
De volgende stap is die maatregelen te implementeren en een
Een ‘disaster recovery plan’ bepaalt hoe de ICT-organisatie zich kan herstellen. Dit plan is vooral technisch van aard en omvat bijvoorbeeld de back-up. Als laatste is een ‘incident response plan’ nodig dat beschrijft hoe om te gaan met incidenten, storingen, gegevensverlies en cybercriminaliteit. Daarna breekt de fase van testen en oefenen aan. Omdat bedrijven voortdurend in beweging zijn, moeten de plannen jaarlijks tegen het licht worden gehouden. Zo nodig zijn bijstellingen nodig.
KPN leerde van ramp
KPN heeft zelf ook het nodige lesgeld betaald. In 2012 werd het bedrijf getroffen door een diepe crisis, toen een 17-jarige jongen toegang wist te krijgen tot het bedrijfsnetwerk en cruciale systemen. Gevolg was de aanstelling van een chief information security officer (CISO) en een hele organisatie daar omheen. Sindsdien is er veel aandacht voor het
Mede door de coronacrisis is er veel vraag naar business continuity managers en crisismanagers. Daarom is het vooral voor kleinere bedrijven lastig en duur de juiste mensen aan te trekken. Uitbesteding aan gespecialiseerde dienstverleners zoals KPN Security die ervaring hebben met stappenplannen en