Weet je wat jouw procedure is in geval van een ramp?

Wat doe je als jouw informatietechnologie ineens niet meer werkt? Lees verder om tips te ontdekken die je in jouw procedure op kunt nemen.

Ben je afhankelijk van technologie?

Calamiteiten komen vaker voor dan je denkt en het is erg belangrijk om voorbereid te zijn op onaangename verrassingen. Tegenwoordig zijn steeds meer bedrijven voor hun bedrijfsuitvoering afhankelijk van hun IT-infrastructuur. Daarom doen IT-managers hun uiterste best om de redundantie van hun infrastructuur te verhogen. Dat is zeker een goede zaak.

Wat houdt een herstelprocedure in?

In sommige gevallen is redundantie echter niet voldoende. Er kan zich dan alsnog een ramp voordoen. Denk bijvoorbeeld aan brand, maar we zien ook steeds vaker dat cyberaanvallen een ernstige bedreiging vormen. In die gevallen is het een goede praktijk om een disaster recovery procedure – een noodherstelplan – paraat te hebben waarin onder andere de volgende onderwerpen worden uitgewerkt:

• Wie neemt de leiding en zorgt ervoor dat alles snel weer operationeel is?
• Wie is verantwoordelijk voor de communicatie met zowel de medewerkers als externe contacten (klanten en leveranciers)?
• Welke tool wordt gebruikt om te communiceren (als bijvoorbeeld het mailsysteem niet gebruikt kan worden)?
• In welke volgorde moeten de verschillende onderdelen weer worden opgestart (met als uitgangspunt de mate van afhankelijkheid van dat onderdeel)?
• Waar werken de medewerkers als jouw kantoren niet toegankelijk zijn?
• Enzovoort ...

Wat gebeurt als je geen procedure hebt?

Helaas hebben veel bedrijven een dergelijk procedure niet paraat. Zij gaan ervan uit dat de kans op een ernstig incident klein is, maar daar vergissen zij zich in. Met name als gevolg van cyberaanvallen (zoals cryptovirussen), is die kans helemaal niet meer zo klein. Sterker nog, die kans is in de loop der jaren zelfs toegenomen. Het is van het grootste belang dat je jouw management overtuigt van het nut van een dergelijke procedure. Bedenk eens hoeveel tijd je verliest als je dit alles op het laatste moment moet organiseren. Het maakt de situatie dan alleen maar erger.

Wat moet je in jouw procedure opnemen?

Als je de tijd neemt om een noodherstelplan op te stellen, realiseer je dan dat het een onderdeel is van jouw bedrijfscontinuïteitsplan.

• Begin met een business impact analyse (analyseer wat de gevolgen zijn van mogelijke lacunes of verliezen).
• Stel een recovery-strategie/strategieën op voor herstel (stel vast welke middelen daarvoor nodig zijn en verken de beschikbare opties).
• Werk een procedureplan uit (organiseer recovery-teams, stel procedures op, leg workarounds vast, laat het management jouw plan valideren).
• Test deze procedure (voer regelmatig hersteltests uit, leg onderhoudsvereisten vast).
  
  

Als we alleen naar jouw recovery-strategie voor IT kijken, zijn er vier belangrijke sleutelwoorden:

• Hardware
• Software
• Gegevens
• en connectiviteit

Zelfs zonder maar één van deze onderdelen, kun je ernstig in de problemen komen.

Dus wat heeft prioriteit?

Simpel, kijk maar eens naar jouw business impact analyse. Prioriteiten moeten in overeenstemming zijn met de prioriteiten voor het herstel van de verschillende bedrijfsfuncties en -processen. Als je hebt vastgesteld dat er IT-middelen nodig zijn voor tijdgevoelige bedrijfsfuncties en -processen, dan moet je daar ook rekening mee houden.

Denk vooral ook aan preventie. In jouw strategie moet zeker worden vermeld hoe je anticipeert op het verlies van een van de systeemonderdelen en hoe dit voorkomen kan worden. Enkele voorbeelden:

• Werk uit hoe je de computerruimte beveiligt met klimaatbeheersing en hoe je geconditioneerde stroomvoorziening toepast en hebt voorzien in een back-up daarvan...
• Leg vast hoe je omgaat met data en herstel.
• Beschrijf hoe je de kantoorproductiviteit, softwaretoepassingen, gegevensuitwisseling en jouw middelen beheert.
• Wat implementeer je op het gebied van connectiviteit? Leg vast welke afspraken je hebt gemaakt met jouw serviceprovider (glasvezel, kabel, Wifi...)
• Hoe ga je om met hardware-problemen (netwerken, servers, draadloze apparatuur, desktops, laptops...)

Waarom testen?

Zodra je jouw noodherstelplan hebt vastgelegd, is er nog een punt waar je aandacht aan moet besteden: de procedure regelmatig testen.

Waarom is dit belangrijk?

Jouw IT-omgeving is voortdurend in beweging en verandert na verloop van tijd. Denk alleen maar eens aan alle variabele factoren: nieuwe leveranciers, nieuwe tools om te integreren, nieuwe governance regels... Maar zelfs samenwerkingsverbanden zijn van invloed en moeten worden meegenomen, want de mensen die jouw IT-infrastructuur beheren, hoeven niet jaar na jaar dezelfde te blijven.

Door dit alles te controleren, kun je de procedure bijwerken met de wijzigingen die zich sinds de laatste test hebben voorgedaan... Zelfs al is dit maar één keer per jaar, achteraf ben je blij dat je het hebt gedaan. Vanzelfsprekend wil je er niet tijdens een ramp achter komen dat het belangrijkste wachtwoord uit jouw procedure inmiddels is veranderd (omdat het volgens de voorschriften uit jouw eigen veiligheidsbeleid elke 3 maanden wordt gewijzigd). Je zult je verbazen over het aantal wijzigingen dat sinds jouw laatste test is doorgevoerd.

Het lijkt misschien veel werk, maar de tijd die je nu in deze test investeert, bespaar je weer als je te maken krijgt met een ramp. Het helpt je om tijdens deze moeilijke periode je stressniveau laag te houden.