Risico’s nemen of risico’s managen?
Een groot aantal organisaties is volledig afhankelijk van hun IT-systemen voor het uitvoeren van bedrijfskritische diensten. Het is essentieel om daar disaster recovery-plannen voor te hebben die aansluiten bij de eisen van de organisatie.
Een Disaster Recovery Plan (DRP) zorgt voor een duidelijk overzicht / draaiboek waarin de risico’s zijn onderkend, de gemaakte afspraken zijn vastgelegd en de draaiboeken zijn opgenomen om in geval van nood gebruik te gaan maken van uitwijkvoorzieningen.
Disaster recovery gaat om mensen, processen en technologie die er samen voor zorgen dat de serviceniveaus van dien aard zijn dat er voortgang is c.q. blijft in de bedrijfsactiviteiten. Het is van wezenlijk belang dat bedrijven de tijd nemen om vast te stellen wat beschermd moet worden en hoe dat vorm moet krijgen. Een disaster recovery-plan moet daarom weloverwogen worden opgesteld en geactualiseerd blijven om voorbereid te blijven bij calamiteiten.
Een DRP is daarom niets meer dan een draaiboek waarin de belangrijkste zaken staan vermeld die nodig zijn na een ramp of calamiteit met betrekking tot de IT-infrastructuur. Onder een ramp kunnen we verstaan: het defect raken van een server, per ongeluk verwijderen van cruciale data, vernietigen van het gebouw, een stroomstoring, een aanval van een hacker, etc.
Wat er allemaal in een DRP valt is sterk afhankelijk van de mate van belangrijkheid van informatievoorziening voor het bedrijf. Steeds meer is deze informatievoorziening het kloppende hart binnen het bedrijf en moet ook als zodanig beschermd worden. Een DRP richt zich primair op het borgen en herstellen van de IT continuïteit en is een onderdeel van een Business Continuity Plan.
Om niet gelijk alle mogelijke 'disasters' op te noemen is het verstandig te werken met een level-indeling. Hierbij is een level 1 de hoogste staat van paraatheid en handelen, terwijl bij een level 4 beperkt handelen noodzakelijk is.
| Level | Voorzieningen Infrastructuur etc. |
Graad van uitval | Kenmerken | Hersteltijd | Globale aanpak |
|
I
|
Faciliteiten niet beschikbaar in productie-omgeving |
Faciliteiten zijn niet beschikbaar
|
Ernstige schade binnen pand. Pand en alle hardware onbruikbaar |
4 kantooruren bij volledige uitwijk |
Geheel Uitwijken. Aanwenden van alle capaciteit bij de betrokken leveranciers & interne medewerkers |
|
IV
|
Faciliteiten en hardware beschikbaar |
Blokkerend systeem Een prio 1 applicatie is voor 2 uur niet benaderbaar Een hacker heeft schade berokkend |
Alle hardware is beschikbaar in de productieom-geving (Delen van) Processen / systemen werken niet |
8 kantooruren op basis van een eventuele restore laatste backup
|
Keuze voor restore of beperkte uitwijk bepalen n.a.v. incident. Direct oplossen |
Binnen een organisatie is vaak ‘common sense’ genoeg aanwezig om te bepalen binnen welk level een calamiteit valt en hoe er moet worden gehandeld.
Veel bedrijven beschikken echter niet over een draaiboek dat gehanteerd kan worden in geval van bijvoorbeeld een calamiteit of uitwijk. Daarnaast is het zo dat er in veel gevallen ook niet kan worden teruggevallen op een uitwijklocatie. Deze bedrijven doen er verstandig aan de ontwikkeling van de externe datacenters te onderzoeken die op dit moment als paddenstoelen uit grond schieten. De mogelijkheden om bedrijfskritische onderdelen onder te brengen binnen deze faciliteiten zijn eindeloos.
Het is niet meer van deze tijd om geen DRP binnen het bedrijf te bezitten danwel te borgen. Er zijn immers genoeg voorbeelden in de media waarbij de dienstverlening van het bedrijf ter discussie is komen te staan omdat de IT het liet afweten. Van deze imagoschade wordt geen CEO gelukkig, daarom is het aan te raden om de volgende media strategie te hanteren in het geval van een calamiteit:
- Blijf aangesloten via de Recovery Support Team-voorzitter m.b.t. de stand van zaken
- Vermijd negatieve publiciteit, wees open en transparant
- Publiceer positieve berichten & nazorg activiteiten via de website, klantportalen, digitale nieuwsbrieven en persberichten
- Haal voordeel uit mogelijkheden voor goede publiciteit (weer snel operationeel, klanten zijn geïnformeerd, zijn bezig met nazorg)
- Zorg voor antwoorden op de volgende vragen:
- Wat is er gebeurd?
- Hoe is het gebeurd?
- Wat hebben jullie / gaan jullie er aan doen?
- Zorg voor afstemming met Marketing & Communicatie ten aanzien van de calamiteit
Stel daarom het maken van een DRP niet langer uit en zorg dat er duidelijkheid is indien een calamiteit zich voordoet.
Edwin Koose - Senior Business Consultant bij Ventus, Linkedin
