De noodzaak van een Disaster Recovery Plan

Sandy

93% van de bedrijven met een significant dataverlies zijn binnen 5 jaar failliet

(Gartner);

90% van alle bedrijven die een ramp overkomen zonder een BCP (Business Continuity Plan) of DRP (Disaster Recovery Plan) gaan binnen 18 maanden failliet (PWC);

Ontbrekende BCP’s of DRP’s zorgen voor onduidelijkheid ten tijde van een calamiteit en kan resulteren in het stopzetten van de onderneming.

 

Sandy onderweg naar New York met chaos als resultaat. Bent U voorbereid op de volgende Sandy?

Wat is het?

Een groot aantal organisaties zijn volledig afhankelijk van hun IT-systemen voor het uitvoeren van hun bedrijfskritische diensten. De beschikbaarheid van deze diensten worden vaak samengevat onder de noemer Business Continuïteit (BC) en is de verzamelnaam van activiteiten die worden uitgevoerd binnen een organisatie om ervoor te zorgen dat bedrijfskritische functies beschikbaar zijn voor klanten, leveranciers, toezichthouders en andere stakeholders die tot deze functies toegang moeten hebben.

De kans bestaat dat de BC wordt onderbroken bijvoorbeeld in het geval van een calamiteit (lees: Disaster). Om de schade van een dergelijke onderbreking te beperken is het daarom essentieel een Disaster RecoveryPlan (DRP) aanwezig te hebben binnen de organisatie die aansluit bij de eisen en verwachtingen van alle stakeholders.

Business Continuïteit en Disaster Recovery gaat om mensen, processen en technologie die er samen voor zorgen dat de serviceniveaus van dien aard zijn en blijven dat er voortgang is c.q. blijft in de bedrijfsactiviteiten. Het is van wezenlijk belang dat bedrijven de tijd nemen om vast te stellen wat beschermd moet worden en hoe dat vorm moet krijgen.

Een DRP bestaat daarbij uit een verzameling van draaiboeken waarin de belangrijkste zaken staan vermeld die nodig zijn na een ramp of calamiteit met impact op de IT-omgeving. Onder een ramp binnen de IT-omgeving kunnen we verstaan: het defect raken van een server, per ongeluk verwijderen van cruciale data, vernietigen van het gebouw, een stroomstoring, een aanval van een hacker, etc.

Een Disaster Recovery Plan moet daarom weloverwogen worden opgesteld en geactualiseerd blijven om continu voorbereid te blijven op eventuele calamiteiten.

Wat betekent dit nu?

Het ontbreken of niet aanwezig zijn van een DRP binnen een organisatie is een groot risico voor de continuïteit na een calamiteit.

  • 93% van de bedrijven met een significant dataverlies zijn binnen 5 jaar failliet (Gartner)
  • 90% van alle bedrijven die een ramp overkomen zonder een BCP (Business Continuity Plan) of DRP (Disaster Recovery Plan) gaan binnen 18 maanden failliet (PWC)

De aanwezige bedrijfskritische diensten binnen een organisatie resulteren in een hoge afhankelijkheid van de IT omgeving. Voor deze afhankelijkheid zijn vaak onvoldoende beschermende maatregelen getroffen en de organisatie is daarmee kwetsbaar voor calamiteiten. Het is dus belangrijk vooraf vast te stellen welke mogelijkheden aanwezig zijn binnen een organisatie voordat een calamiteit zich voordoet. Wat er allemaal in een BCP en DRP geregeld wordt, is sterk afhankelijk van de mate van belangrijkheid van de informatievoorziening in het bedrijf. Steeds meer is deze informatievoorziening het kloppende hart binnen het bedrijf en moet ook als zodanig worden beschermd. Een DRP richt zich hierbij primair op het borgen en herstellen van de IT continuïteit en is een onderdeel van het meer omvattende Business Continuïteit Plan (BCP).

Het is van belang dat bedrijven de tijd nemen om vast te stellen wat beschermd moet worden, wat de toegestane uitvaltijd is en hoe dat vorm moet krijgen. Op basis van deze uitgangspunten is het opstellen van een strategie mogelijk waarbij de volgende overwegingen voor het DRP als leidraad dienen: Ontbrekende draaiboeken of het DRP zelf zorgen voor onduidelijkheid ten tijde van een calamiteit en kan resulteren in het stopzetten van de onderneming. In de strategie is het verder belangrijk rekening te houden met de inrichting/opzet van een uitwijkomgeving. Immers een uitwijkomgeving beperkt / minimaliseert de ongewenste invloeden op – en bedreigingen voor – het bedrijfsproces tot een aanvaardbaar niveau .

Een uitwijkomgeving en de aanwezigheid van een DRPmet betrekking tot de kritische bedrijfsprocessen is dus essentieel. Binnen de draaiboeken is het belangrijk te werken met een ‘level of disruption’ . Het niveau/level van de verstoring bepaald namelijk de mate van activiteiten of uitwijk . Hiermee ontstaat een duidelijk beeld van de te nemen stappen en het creëert duidelijkheid binnen de organisatie.

Onze aanpak

Omdat Disaster Recovery vaak wordt neergelegd bij de IT-afdeling richten we ons in deze aanpak op het DRP van IT. Binnen een BCP worden namelijk de maatregelen getroffen of onderzoek verricht op het aanwezig zijn van een pandemie, wegvallen van de directie of overige zaken die een invloed hebben op bedrijfskritische functies die beschikbaar (moeten) zijn voor klanten, leveranciers, toezichthouders en andere entiteiten ingeregeld.

Een DRP begint met het in kaart brengen van de aanwezige ICT-omgeving. Vervolgens kan op basis hiervan een DRP worden ontworpen. Hierbij moet er onderscheid worden gemaakt in verschillende niveaus. Binnen een DRP moet op tactisch niveau een ICT continuïteitsplan worden gemaakt en op het operationele niveau wordt voor nader vast te stellen situaties per situatie een handleiding gemaakt waarin exact staat omschreven hoe er gehandeld moet worden (de draaiboeken).

Voor het opzetten en inregelen van een DRP kennen we binnen Ventus de volgende aanpak:

  1. Inventarisatie (namen contactpersonen, contracten, hard- & software, etc.);
  2. Ontwerp (de indeling van het DRP en het uitschrijven van de activiteiten/informatie);
  3. Publicatie (het informeren van de betrokkenen en organisatie);
  4. Testen (op de werking van het DRP);
  5. Evaluatie (het eventueel aanpassen van het DRP).

In het DRP worden diverse calamiteiten scenario’s beschreven en wordt het duidelijk hoe de organisatie moet handelen in het geval van een calamiteit. Op basis van te houden interviews wordt een inventarisatie opgeleverd ten aanzien van welke onderwerpen in het plan worden opgenomen. Deze worden vervolgens uitgewerkt in het uiteindelijke DRP. Het DRP kent verder als resultaat een draaiboek voorzien van rollen en verantwoordelijkheden zodat na oplevering de organisatie in staat om eenduidig en snel te handelen in geval van een calamiteit.

Binnen Ventus zijn voor alle fase tools en templates ontwikkeld. Zo kan snel en eenvoudig (vaak binnen 6 weken) een DRP incl. draaiboeken worden opgeleverd.

Voordelen

De voordelen van deze aanpak zijn:

  • Snel uw DRP opgesteld en/of geactualiseerd
  • Duidelijkheid binnen de organisatie bij een calamiteit:
    • Rollen, taken & verantwoordelijkheden
    • Stappenplan per calamiteit
    • Communicatie intern en extern
    • Overzicht v.w.b. financiële impact
    • Overzicht te ondernemen juridische stappen
  • Organisatie-continuïteit i.p.v. faillissement