DISASTER RECOVERY PLAN

Een computerruimte Disaster Recovery Plan opstellen roept vele vragen op zoals "waar te beginnen" ? In feite kan bij procesmatige benadering de totale bedrijfsvoering in een op te maken Disaster Recovery Plan worden opgenomen. Wanneer men uitgaat van de mogelijke dreigingen kan men ook de hele organisatie onder de loep moeten nemen. Als een bepaald dreigend risico in de organisatie al is afgedekt dan hoeft dat niet nog eens in een Disaster Recovery Plan te worden opgenomen. Zo vormen debiteuren het belangrijkste risico voor een faillissement van een bedrijf. Doorgaans is het debiteurenrisico afgedekt. De calamiteiten die allemaal in een computerruimte Disaster Recovery Plan of Business Continuity Plan worden genoemd zijn dreigingen die de bedrijfsvoering in gevaar brengen zodat de bedrijfscontinuïteit direct onder druk staat. 

Het gaat hierbij dus niet om de calamiteit zelf echter wel om het effect dat een calamiteit in uw bedrijf heeft op de bedrijfsvoering, met meestal als belangrijkste discussiepunt dat een bedrijf zijn leveringsverplichtingen niet na kan komen of een zodanige imagoschade oploopt dat dit tot verlies van klanten en/of inkomsten leidt. De directe schade van calamiteiten als waterschade of brand is vaak wel verzekerd maar de indirecte schade zoals het niet meer kunnen leveren van producten conform klant afspraak, waardoor inkomsten misgelopen worden is meestal onverzekerbaar. Daarom wordt er vooral gekeken naar de risico's van de effecten van een  ICT of bedrijfscalamiteit. In tegenstelling tot informatiebeveiliging richt het Business Continuity Plan zich op repressieve maatregelen. 

De kans dat een calamiteit niet optreedt is veel groter dan de kans dat deze wel optreedt. De investeringen in preventieve maatregelen lijken dan ook vrijwel altijd tevergeefs uitgegeven..! De gebeurtenis die leidt tot een calamiteit kan op veel verschillende manieren in nadelige spotlights verschijnen. Een dergelijke gebeurtenis via preventieve maatregelen voorkomen is bijna onbegonnen werk. De effecten van de gebeurtenis zijn echter veel beter voorspelbaar. Een goede set aan repressieve maatregelen kan voorkomen dat een ramp uitgroeit tot een bedreiging voor de bedrijfscontinuïteit. Natuurlijk is het einde oefening als er tijdens kantooruren een vliegtuig land op uw bedrijfsgebouw. Helaas kunt u dit niet voorkomen en u moet zich er dan ook niet druk over maken. De keerzijde van de medaille is dat het maken van een Business Continuity Plan eenvoudiger is dan het lijkt. U weet tenslotte de belangrijkste en tevens meest bedrijfskritische werkprocessen haarfijn te traceren. 

Een Business Continuity Plan moet een draaiboek opleveren dat geldt in oorlogstijden met diverse ramp scenario's. Een implementatieplan waarin beschreven staat welke eenmalige en of structurele acties er in vredestijden noodzakelijk zijn om ervoor te zorgen dat het draaiboek in oorlogstijd werkt. Bijvoorbeeld een uitwijkplan voor alle ICT-voorzieningen. Dit continuity plan wordt apart opgesteld omdat veel calamiteiten zich beperken tot de ICT afdeling. Nadat de risicogebieden en de diensten en processen in kaart gebracht zijn wordt dit geheel gepresenteerd aan de directie van de betreffende organisatie. Met aandacht gevestigd op mogelijke dreigingen wordt op twee punten de directie om goedkeuring dan wel aanpassing of bijsturing gevraagd. Namelijk, de inschatting van de ernst en de beoordeling of er echt actie vereist is. Als de directie de ernst van een dreiging laag inschaalt en zij bij ontbreking van ICT uitwijk oordeelt dat er geen actie nodig is dan accepteert de directie dit risico. Ons advies is: voorkom ICT calamiteiten.