Hoe de bedrijfscontinuïteit en het herstel na rampen te verbeteren

Laten we beginnen met het favoriete en meest bekende document binnen IT: het Disaster Recovery Plan (DRP). De meeste IT- en cybersecurityprofessionals zijn vertrouwd met dit document, omdat het technisch van aard is en gericht op het herstellen van IT-systemen en -diensten naar hun normale staat. In sommige gevallen kunnen tijdelijke oplossingen worden toegepast totdat permanente herstelmaatregelen, zoals het vervangen van defecte hardware, zijn voltooid.

Voorbeeld:
“Een vliegtuig is neergestort op onze serverkast… Onze hoofdserver en database zijn vernietigd. Het DRP kan bijvoorbeeld voorschrijven: Zet een nieuwe server op, haal de back-ups tevoorschijn en draai tijdelijk op één node totdat het systeem volledig is hersteld. Probeer het uit en weer aan te zetten (Niet haten, meedoen; soms werkt het echt!).”

Het Business Continuity Plan (BCP) heeft een heel andere focus. Het is bedoeld om de continuïteit van kritieke bedrijfsactiviteiten te waarborgen, naast de IT-elementen. Een BCP richt zich op het draaiende houden van het bedrijf tijdens een verstoring en omvat alle essentiële functies zoals personeel, faciliteiten, toeleveringsketens en IT-systemen.

Een Incident Response Plan (IRP) biedt een stappenplan voor hoe te handelen bij cyberbeveiligingsincidenten, zoals ransomware-aanvallen of datalekken. De standaardaanpak omvat: voorbereiding, detectie, reactie (beheersing en verwijdering) en herstel van getroffen systemen. Het NIST Cyber Security Framework (CSF) of CyFun volgt grotendeels dezelfde aanpak.

Tot slot hebben we de vaak genegeerde maar zeer belangrijke Business Impact Analysis (BIA). Dit document is meer analytisch en ondersteunt een proces. Het identificeert en evalueert de potentiële effecten van een verstoring op kritieke bedrijfsactiviteiten en helpt bij het prioriteren van herstelinspanningen. Dit document is vaak omvangrijk, en veel mensen binnen de organisatie worden geïnterviewd om precies te begrijpen wat de grote machine draaiende houdt.

Deze documenten bieden richtlijnen en processen om uw bedrijf cyberweerbaar te maken. Ze zijn vaak verplicht, aangezien raamwerken en regelgeving zoals ISO 9001, ISO 27001, NIS2 en DORA ze vereisen.

Zonder deze documenten en de bijbehorende processen kunnen bedrijven moeite hebben om aan de compliance-eisen te voldoen, klantvertrouwen verliezen of moeite hebben om effectief te herstellen van verstoringen. U zou zomaar de volgende organisatie kunnen zijn die wordt besproken in een “Wat je niet moet doen”-sessie op een grote conferentie.

Bij het opstellen van uw Document Library zijn er een paar zaken om rekening mee te houden. Hoewel het misschien logisch lijkt om alles in één groot document te combineren, zijn er goede argumenten tegen deze praktijk:

• Wanneer de processen worden geactiveerd, heeft u misschien niet alles nodig. Een te uitgebreid document kan contraproductief werken. Het is vaak efficiënter om ondersteunende documenten te hebben die helpen bij het nemen van de juiste beslissingen, in plaats van een “Lord of the Rings”-grootte responsplan dat uren lezen vereist.
• Gescheiden documenten zijn gemakkelijker te onderhouden. Door de voortdurende veranderingen in het risicolandschap en de compliance-eisen zijn korte documenten eenvoudiger bij te werken, goed te keuren en te verspreiden.
• Auditors geven vaak de voorkeur aan een duidelijke scheiding tussen documenten met verschillende functies. Dit maakt het eenvoudiger om aan de compliance-eisen te voldoen.